Você está na página 1de 480

Configurao de servios avanados do Windows Server 2012

Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.

Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico


e em treinamentos que atende a avanados requisitos de certificao. Alm disso, se os
instrutores estiverem oferecendo o treinamento em um de nossos Certified Partners for
Learning Solutions, eles tambm sero avaliados durante o ano pelos alunos e pela
Microsoft.

Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade


de prestar um exame de Certificao Microsoft. As Certificaes Microsoft validam suas
habilidades em tecnologias da Microsoft e podem ajudar a diferenci-lo na procura por
um emprego ou impulsionar a sua carreira. De fato, uma pesquisa independente
realizada pelo IDC concluiu que 75% dos gerentes consideram as certificaes
importantes para o desempenho da equipe1. Pergunte ao seu instrutor sobre descontos
e promoes de exames de Certificao Microsoft que possam estar disponveis para
voc.

Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions


oferecem garantia de satisfao, e ns os consideramos responsveis por isso. Ao final
da aula, preencha uma avaliao da experincia de hoje. Seus comentrios so muito
importantes para ns!

Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de


constante sucesso!
Atenciosamente,
Microsoft Learning
www.microsoft.com/brasil/certifique

1 IDC,

Value of Certication: Team Certication and Organizational Performance, novembro de 2006

xiii

xiv

Configurao de servios avanados do Windows Server 2012

Agradecimentos

O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio
no desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu
que voc tivesse uma boa experincia em sala de aula.

Stan Reimer desenvolvedor de contedo


Stan Reimer presidente da S. R. Technical Services Inc. e trabalha como consultor, instrutor e autor.
Stan tem vasta experincia em consultoria com o AD DS (Servios de Domnio do Active Directory)
e implantaes do Microsoft Exchange Server para algumas das maiores empresas do Canad. Stan
o autor principal de dois livros sobre o Active Directory para Microsoft Press. Durante os ltimos
nove anos, Stan tem escrito cursos para o Microsoft Learning, especializando-se em cursos sobre
o Active Directory e o Exchange Server. Stan um MCT (Microsoft Certified Trainer) h 12 anos.

Damir Dizdarevic Desenvolvedor de Contedo/Especialista


Damir Dizdarevic possui as certificaes MCT, Microsoft Certified Solutions Expert (MCSE), Microsoft
Certified Technology Specialist (MCTS) e Microsoft Certified Information Technology Professional (MCITP).
Ele gerente e instrutor do Centro de Aprendizagem da Logosoft d.o.o. em Sarajevo, Bsnia e
Herzegovina. Damir tem mais de 17 anos de experincia em plataformas da Microsoft e especializado
em Windows Server, Exchange Server, segurana e virtualizao. Ele trabalhou como especialista e
revisor tcnico em muitos cursos Microsoft Official Courses (MOC) e publicou mais de 400 artigos em
vrias revistas de TI, como Windows ITPro e INFO Magazine. Ele tambm um palestrante frequente
e de renome na maioria das conferncias da Microsoft na Europa Oriental. Alm disso, Damir tem a
certificao MVP (Microsoft Most Valuable Professional) para Gerenciamento da Infraestrutura do
Windows Server.

Orin Thomas Desenvolvedor de Contedo


Orin Thomas possui certificao como MVP e MCT e vrias certificaes como MCSE e MCITP.
Ele j escreveu mais de 20 livros para a Microsoft Press, alm de colaborar como editor na revista
Windows IT Pro. Orin trabalha na rea de TI desde o incio dos anos 1990. Ele atua regularmente
como palestrante em eventos como o TechED na Austrlia e em todas as partes do mundo sobre
o Windows Server e sistemas operacionais cliente do Windows, o Microsoft System Center e tpicos
de segurana. Orin fundou e dirige o Melbourne System Center Users Group.

Vladimir Meloski Desenvolvedor de Contedo


Vladimir Meloski possui as certificaes MCT e MVP no Exchange Server, alm de atuar como consultor,
fornecendo solues de comunicaes unificadas e infraestrutura com base no Microsoft Exchange Server,
no Microsoft Lync Server e no Microsoft System Center. Vladimir tem 16 anos de experincia como
profissional de TI e j esteve envolvido em conferncias da Microsoft na Europa e nos Estados Unidos
como palestrante, moderador, inspetor de laboratrios prticos e especialista tcnico. Ele tambm j
esteve envolvido como especialista e revisor tcnico para vrios cursos MOC.

Configurao de servios avanados do Windows Server 2012

xv

Nick Portlock Autor


Nick Portlock possui uma certificao como MCT por 15 anos. Ele instrutor de TI autnomo, consultor
e autor. No ano passado, Nick ensinou em mais de 20 pases. Ele especialista nos Servios de Domnio
do Active Directory, em Poltica de Grupo e em DNS (Sistema de Nomes de Domnio) e prestou servios
de consultoria para vrias empresas na ltima dcada. Nick revisou mais de 100 cursos da Microsoft e
membro do programa Windows 7 Series Technical Expert Panel (STEP).

Gary Dunlop Especialista


Gary Dunlop mora em Winnipeg, Canad, e consultor tcnico e instrutor da Broadview Networks. Gary
autor de uma srie de ttulos do Microsoft Learning e possui uma certificao como MCT desde 1997.

Ulf B. Simon-Weidner Revisor Tcnico


Ulf B. Simon-Weidner um consultor snior de um provedor europeu para solues de infraestrutura na
Alemanha. Ele tambm autor independente, consultor, palestrante e instrutor. Ulf foi premiado como
MVP repetidamente para Servios de Diretrio do Windows Server na ltima dcada e MCT h mais
de 10 anos. Ao longo de sua carreira profissional, Ulf teve participou de vrias consultorias em grandes
corporaes europeias ou globais. Ele tambm publicou vrios livros e artigos de revista sobre Servios
de Domnio do Active Directory, Windows Server, sistemas operacionais cliente do Windows e segurana.
Ulf um palestrante convidado frequente de conferncias, inclusive Microsoft TechEd Amrica do Norte
e Europa ou a The Experts Conference. Ulf fornece sua experincia tcnica e de campo em vrios
coursewares do Windows Server como revisor tcnico.

Configurao de servios avanados do Windows Server 2012

xvii

Contedo
Mdulo 1: Implementao de servios de rede avanados
Lio 1: Configurao de recursos avanados de DHCP
Lio 2: Definio das configuraes avanadas de DNS
Lio 3: Implementao de IPAM
Laboratrio: Implementao de servios de rede avanados

1-2
1-12
1-24
1-35

Mdulo 2: Implementao de servios de arquivo avanados


Lio 1: Configurao do armazenamento iSCSI
Lio 2: Configurao de BranchCache
Lio 3: Otimizao do uso de armazenamento
Laboratrio A: Implementao de servios de arquivo avanados
Laboratrio B: Implementao do BranchCache

2-2
2-10
2-19
2-26
2-33

Mdulo 3: Implementao do Controle de Acesso Dinmico


Lio 1: Viso geral do Controle de Acesso Dinmico
Lio 2: Planejamento do Controle de Acesso Dinmico
Lio 3: Implantao do Controle de Acesso Dinmico
Laboratrio: Implementao do Controle de Acesso Dinmico

3-2
3-9
3-14
3-25

Mdulo 4: Implementao de implantaes distribudas dos Servios de Domnio


do Active Directory
Lio 1: Viso geral de implantaes distribudas do AD DS
Lio 2: Implantao de um ambiente distribudo do AD DS
Lio 3: Configurao de relaes de confiana do AD DS
Laboratrio: Implementao de implantaes do AD DS distribudas

4-2
4-8
4-17
4-23

Mdulo 5: Implementao de sites e da replicao dos Servios de Domnio do Active Directory


Lio 1: Viso geral da replicao do AD DS
Lio 2: Configurao de sites do AD DS
Lio 3: Configurao e monitoramento da replicao do AD DS
Laboratrio: Implementao de sites e replicao do AD DS

5-2
5-11
5-20
5-28

xviii

Configurao de servios avanados do Windows Server 2012

Mdulo 6: Implementao dos Servios de Certificados do Active Directory


Lio 1: Viso geral do PKI
Lio 2: Implantao de autoridades de certificao
Laboratrio A: Implantao e configurao da hierarquia de autoridades
de certificao
Lio 3: Implantao e gerenciamento de modelos de certificados
Lio 4: Implementao da distribuio e revogao de certificados
Lio 5: Gerenciamento da recuperao de certificados
Laboratrio B: Implantao e gerenciamento de certificados

6-2
6-12
6-19
6-23
6-29
6-39
6-44

Mdulo 7: Implementao do Active Directory Rights Management Services


Lio 1: Viso geral do AD RMS
Lio 2: Implantao e gerenciamento de uma infraestrutura do AD RMS
Lio 3: Configurao da proteo de contedo do AD RMS
Lio 4: Configurao do acesso externo ao AD RMS
Laboratrio: Implementao do AD RMS

7-2
7-8
7-15
7-22
7-27

Mdulo 8: Implementao dos Servios de Federao do Active Directory


Lio 1: Viso geral do AD FS
Lio 2: Implantao do AD FS
Lio 3: Implementao do AD FS para uma nica organizao
Lio 4: Implantao do AD FS em um cenrio de federao B2B
Laboratrio: Implementao dos Servios de Federao
do Active Directory

8-2
8-12
8-20
8-27
8-34

Mdulo 9: Implementao do Balanceamento de Carga de Rede


Lio 1: Viso geral do NLB
Lio 2: Configurao de um cluster NLB
Lio 3: Planejamento de uma implementao do NLB
Laboratrio: Implementao do Balanceamento de Carga de Rede

9-2
9-6
9-13
9-19

Mdulo 10: Implementao do cluster de failover


Lio 1: Viso geral do cluster de failover
Lio 2: Implementao de um cluster de failover
Lio 3: Configurao de aplicativos e servios altamente disponveis
em um cluster de failover
Lio 4: Manuteno de um cluster de failover
Lio 5: Implementao de um cluster de failover multissite
Laboratrio: Implementao do cluster de failover

10-2
10-15
10-22
10-28
10-35
10-41

Configurao de servios avanados do Windows Server 2012

Mdulo 11: Implementao do cluster de failover com o Hyper-V


Lio 1: Viso geral da integrao do Hyper-V com o cluster de failover
Lio 2: Implementao de mquinas virtuais do Hyper-V em clusters
de failover
Lio 3: Implementao da movimentao de mquinas virtuais
do Hyper-V
Lio 4: Gerenciamento de ambientes virtuais do Hyper-V
usando o VMM
Laboratrio: Implementao do cluster de failover com o Hyper-V

11-2
11-9
11-19
11-26
11-38

Mdulo 12: Implementao da recuperao de desastres


Lio 1: Viso geral da recuperao de desastres
Lio 2: Implementao do backup do Windows Server
Lio 3: Implementao da recuperao de dados e de servidor
Laboratrio: Implementao do backup e restaurao
do Windows Server

12-2
12-8
12-19
12-24

Gabaritos dos laboratrios


Mdulo 1, Laboratrio: Implementao de servios de rede avanados
L1-1
Mdulo 2, Laboratrio A: Implementao de servios
de arquivo avanados
L2-11
Mdulo 2, Laboratrio B: Implementao do BranchCache
L2-19
Mdulo 3, Laboratrio: Implementao do Controle
de Acesso Dinmico
L3-27
Mdulo 4, Laboratrio: Implementao de implantaes
do AD DS distribudas
L4-39
Mdulo 5, Laboratrio: Implementao de sites e replicao do AD DS
L5-45
Mdulo 6, Laboratrio A: Implantao e configurao da hierarquia
de autoridades de certificao
L6-51
Mdulo 6, Laboratrio B: Implantao e gerenciamento de certificados L6-57
Mdulo 7, Laboratrio: Implementao do AD RMS
L7-67
Mdulo 8, Laboratrio: Implementao dos Servios de Federao
do Active Directory
L8-79
Mdulo 9, Laboratrio: Implementao do Balanceamento
de Carga de Rede
L9-93
Mdulo 10, Laboratrio: Implementao do cluster de failover
L10-99
Mdulo 11, Laboratrio: Implementao do cluster de failover
com o Hyper-V
L11-107
Mdulo 12, Laboratrio: Implementao do backup e restaurao
do Windows Server
L12-115

xix

Sobre este curso

xxi

Sobre este curso

Esta seo fornece uma breve Estrutura do curso, do pblico-alvo, dos pr-requisitos sugeridos
e dos seus objetivos.

Estrutura do curso
Este curso proporcionar a voc o conhecimento e as habilidades necessrios para provisionar
servios avanados em um ambiente empresarial do Windows Server 2012. Este curso ensinar voc a
configurar e gerenciar recursos de alta disponibilidade, arquivo e solues de armazenamento e servios
de rede no Windows Server 2012. Voc tambm saber sobre como configurar a infraestrutura dos
Servios de Domnio do Active Directory (AD DS) e implementar backups e recuperao de desastres.

Pblico-alvo
Este curso destinado a profissionais de TI com experincia prtica em implementao, gerenciamento
e manuteno de uma infraestrutura do Windows Server 2012 em um ambiente corporativo existente e
que desejam adquirir as habilidades e o conhecimento necessrio para executar gerenciamento avanado
e provisionamento de servios nesse ambiente do Windows Server 2012.
O pblico-alvo secundrio para este curso constitudo pelos que desejam adquirir a credencial
MCSA (Microsoft Certified Systems Administrador) ou prosseguir adquirindo as credenciais MCSE
(Microsoft Certified System Engineer) para as quais esse um pr-requisito. Profissionais de TI que
buscam certificao no exame 70-412: Configurao de servios avanados do Windows Server 2012
tambm podem fazer este curso.

Pr-requisitos do aluno
Este curso exige que voc atenda aos seguintes pr-requisitos:

Pelo menos, dois anos de experincia prtica com um ambiente do Windows Server 2008
ou do Windows Server 2012.

Conhecimento equivalente aos cursos 24410: Instalao e configurao do Windows Server 2012

Instalao e configurao do o Windows Server 2012 em ambientes empresariais existentes ou


como instalaes autnomas

Configurao do armazenamento local

Configurao de funes e recursos

Configurao de servios de arquivo e impresso

Configurao de servidores Windows Server 2012 para administrao local e remota

Configurao de endereos IPv4 e IPv6

Configurao de DNS (Sistema de Nomes de Domnio) e DHCP

Instalao de controladores de domnio

Criao e configurao de usurios, grupos, computadores e unidades organizacionais (UOs)

Criao e gerenciamento de Polticas de Grupo

xxii Sobre este curso

Configurao de polticas de segurana locais

Configurao do Firewall do Windows

Configurao do Windows Server 2012 Hyper-V

Conhecimento equivalente ao curso 24411: Administrao do Windows Server 2012:

Implantao e gerenciamento de imagens do Windows Server

Instalao e configurao do WSUS (Windows Server Update Services)

Monitoramento do ambiente Windows Server 2012

Instalao e configurao do Sistema de Arquivos Distribudos (DFS)

Instalao e configurao do Gerenciador de Recursos de Servidor de Arquivos (FSRM)

Configurao de polticas de acesso e auditoria de arquivo e disco

Configurao de segurana de DNS e integrao com o AD DS

Manuteno da integridade da rede pela configurao do Acesso de Rede usando NPS


(Servidor de Polticas de Rede) e NAP (Proteo de Acesso Rede)

Configurao de acesso remoto usando VPNs (redes virtuais privadas) e DirectAccess

Configurao de controladores de domnio

Gerenciamento e manuteno do ambiente do AD DS

Gerenciamento e manuteno do ambiente de domnio do Windows Server 2012 usando


a Poltica de Grupo

Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:

Configurar recursos avanados para o DHCP e DNS e configurar IPAM (Gerenciamento


de Endereo IP).

Configurar servios de arquivo para satisfazer requisitos comerciais avanados.

Configurar o Controle de Acesso Dinmico para gerenciar e auditar o acesso a arquivos


compartilhados.

Fornecer alta disponibilidade e balanceamento de carga para aplicativos baseados na Web


implementando NLB (Balanceamento de Carga de Rede).

Fornecer alta disponibilidade para servios de rede e aplicativos implementando cluster de failover.

Implantar e gerenciar mquinas virtuais de Hyper-V em um cluster de failover.

Implementar uma soluo de backup e recuperao de desastres com base nos requisitos comerciais
e tcnicos.

Planejar e implementar uma implantao do AD DS que inclui vrios domnios e florestas.

Planejar e implementar uma implantao do AD DS que inclui vrios locais.

Sobre este curso

Implementar uma implantao de Servios de Certificados do Active Directory (AD CS).

Implementar uma implantao do Active Directory Rights Management Services (AD RMS).

Implementar uma implantao de Servios de Federao do Active Directory (AD FS).

xxiii

Estrutura do curso
Veja a seguir a estrutura do curso:
O Mdulo 1, "Implementao de servios de rede avanados" descreve como configurar os recursos
avanados de DHCP e as configuraes de DNS e implementar o IPAM, que um novo recurso
do Windows Server 2012.
O Mdulo 2, "Implementao de servios de arquivo avanados" descreve como configurar um
armazenamento iSCSI (Internet Small Computer System Interface) e o Windows BranchCache. O mdulo
tambm descreve como implementar recursos do Windows Server 2012 que otimizam a utilizao do
armazenamento.
O Mdulo 3, "Implementao do Controle de Acesso Dinmico" descreve o Controle de Acesso
Dinmico, que um novo recurso do Windows Server 2012. Tambm explica como planejar e configurar
uma implementao do Controle de Acesso Dinmico.
O Mdulo 4, "Implementao de implantaes distribudas dos Servios de Domnio do Active Directory"
apresenta uma viso geral de implantaes distribudas do AD DS e o processo para implement-lo.
Tambm descreve como configurar relaes de confiana do AD DS e implementar implantaes
do AD DS complexas.
O Mdulo 5, Implementao de sites e da replicao dos Servios de Domnio do Active Directory"
descreve como a replicao funciona no AD DS em um ambiente do Windows Server 2012 e como
configurar sites do AD DS para otimizar o trfego de rede do AD DS. Tambm mostra como configurar
e monitorar a replicao do AD DS.
O Mdulo 6, Implementao dos Servios de Certificados do Active Directory" apresenta uma viso geral
da Infraestrutura de Chave Pblica (PKI) e descreve como implantar CAs (autoridades de certificao)
e modelos de certificado. Este mdulo tambm aborda a distribuio e a revogao de certificados e
o gerenciamento da recuperao de certificado.
O Mdulo 7, "Implementao do Active Directory Rights Management Services" descreve o AD RMS
e como voc pode us-lo para obter proteo de contedo. Tambm explica como implantar e gerenciar
uma infraestrutura do AD RMS e configurar a proteo de contedo do AD RMS e o acesso externo
ao AD RMS.
O Mdulo 8, "Implementao dos Servios de Federao do Active Directory" descreve cenrios
comerciais de federao de identidade e como voc pode usar o AD FS para abordar os cenrios.
Tambm descreve como implantar o AD FS e como implement-lo para uma organizao nica
e em um cenrio B2B.
O Mdulo 9, "Implementao do Balanceamento de Carga de Rede" descreve os recursos
e o funcionamento do NLB. Tambm explica como configurar um cluster NLB e planejar
uma implementao do NLB.
O Mdulo 10, Implementao do cluster de failover" descreve os recursos de cluster de failover no
Windows Server 2012. O mdulo tambm descreve como implementar e manter clusters de failover e
como configurar aplicativos e servios altamente disponveis em um cluster de failover.

xxiv Sobre este curso

O Mdulo 11, "Implementao do cluster de failover com o Hyper-V" descreve as opes para tornar
mquinas virtuais altamente disponveis. O mdulo tambm descreve a implementao de mquinas
virtuais do Hyper-V em clusters de failover e movimento de mquina virtual do Hyper-V.
O Mdulo 12, "Implementao da recuperao de desastres" descreve recuperao de desastres,
o servidor e recuperao de dados e o planejamento e a implementao de uma soluo de backup
para Windows Server 2012.

Mapeamento do exame/curso
Este curso, 24412B: Configurao de servios avanados do Windows Server 2012, tem um mapeamento
direto do seu contedo com o domnio de objetivos para o exame da Microsoft 70-412: Configurao
de servios avanados do Windows Server 2012.
A tabela abaixo fornecida como auxlio de estudo que ajudar voc na preparao para realizar esse
exame e para mostrar como os objetivos do exame e o contedo do curso se encaixam. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao Os objetivos deste exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls)

Exame 70-412: Configurao de servios avanados do Windows Server 2012


Domnio do objetivo do exame
Configurar e gerenciar a alta disponibilidade (16%)
Este objetivo pode incluir, mas no est
Configurar o
limitado a: Instalar ns de NLB; configurar os
Balanceamento
pr-requisitos do NLB; configurar a afinidade;
de Carga de Rede configurar regras de portas; configurar o modo
(NLB)
de operao do cluster; atualizar um cluster
do NLB
Este objetivo pode incluir, mas no
est limitado a: Configurar o Quorum;
configurar a rede de cluster; restaurar o
Configurar
nico ou a configurao do cluster; configurar
o cluster
o armazenamento de cluster; implementar a
de failover
Atualizao com Suporte a Cluster; atualizar
um cluster

Contedo do curso
Mdulo
Md 9

Lio
Lio
1/2/3

Laboratrio
Md 9 Ex
1/2/3

Md 10

Lio
1/2/3/4/5

Md 10 Ex
1/2/3/4

Sobre este curso

xxv

(continuao)

Exame 70-412: Configurao de servios avanados do Windows Server 2012


Domnio do objetivo do exame
Configurar e gerenciar a alta disponibilidade (16%)
Este objetivo pode incluir, mas no est
Gerenciar
limitado a: Definir configuraes especficas
funes de
de funo, incluindo compartilhamentos
cluster de
disponveis continuamente; configurar
failover
monitoramento de VM; definir preferncias e
configuraes de failover
Este objetivo pode incluir, mas no est
Gerenciar o
limitado a: Executar a Migrao ao Vivo;
movimento de
executar a migrao rpida; executar a
Mquina Virtual
migrao de armazenamento; importar,
(VM)
exportar e copiar VMs; migrar de outras
plataformas (P2V a V2V)
Configurar as solues de arquivo e armazenamento (15%)
Este objetivo pode incluir, mas no est
limitado a: Configurar o repositrio de dados
Configurar
NFS; configurar o BranchCache; configurar a
servios de
Infraestrutura de Classificao de Arquivos
arquivo
(FCI) usando o Gerenciador de Recursos de
avanados
Servidor de Arquivos (FSRM); configurar a
auditoria do acesso de arquivo
Este objetivo pode incluir, mas no est
Implementar o
limitado a: Configurar tipos de declarao de
Controle de
usurio e dispositivo; implementar alteraes
Acesso Dinmico de poltica e preparo; executar correo de
(DAC)
acesso negado; configurar a classificao
de arquivo
Este objetivo pode incluir, mas no est
limitado a: Configurar o Destino e Iniciador
Configurar
de iSCSI; configurar o Internet Storage Name
e otimizar o
server (iSNS); implementar o provisionamento
armazenamento
dinmico e o corte; gerenciar o espao livre no
servidor usando Recursos sob Demanda

Contedo do curso
Md 10

Lio
1/2/3/4/5

Md 10 Ex
1/2/3/4

Md 11

Lio
1/2/3/4

Md 11 Ex
1/2/3

Md 2

Lio 2/3

Mod 2 Lab A
Ex 2 e Lab B
Ex 1/2/3/4

Md 3

Lio
1/2/3

Mod 3 Ex
1/2/3/4/5/6

Md 2

Lio 1/3

Mod 2 Lab A
Ex 1

xxvi Sobre este curso

(continuao)

Exame 70-412: Configurao de servios avanados do Windows Server 2012


Domnio do objetivo do exame
Implementar a continuidade comercial e a recuperao de desastres (18%)
Este objetivo pode incluir, mas no
Md 12
est limitado a: Configurar backups do
Windows Server; configurar o Backups Online
Configurar
do Windows; configurar backups especficos
e gerenciar
de funo; gerenciar configuraes de VSS
backups
usando VSSAdmin; criar instantneos de
Restaurao do Sistema
Este objetivo pode incluir, mas no est
Md 12
limitado a: Restaurar de backups; executar
uma Restaurao Bare-Metal (BMR); recuperar
servidores usando o Ambiente de Recuperao
Servidor de
do Windows (Win RE) e o modo de segurana;
recuperao
aplicar instantneos de Restaurao do
Sistema; configurar o repositrio de Dados
de Configurao da Inicializao (BCD)
Este objetivo pode incluir, mas no est
Md 10
Configurar
limitado a: Configurar a Rplica do Hyper-V
a tolerncia a
incluindo Agente de Rplica do Hyper-V e VMs; Md 11
falhas no nvel
definir clusterizao multissite incluindo
do site
configuraes de rede, Quorum e
configuraes de failover
Configurar servios de rede (17%)
Este objetivo pode incluir, mas no est
Md 1
Implementar
limitado a: Criar e configurar superescopos
uma soluo de
e escopos multicast; implementar o DHCPv6;
Protocolo DHCP
configurar a alta disponibilidade para DHCP
avanada
incluindo failover de DHCP e escopos de
diviso; configurar a Proteo de Nome DHCP
Este objetivo pode incluir, mas no est
Md 1
limitado a: Configurar a segurana para DNS
incluindo DNSSEC, o Pool de Soquetes de DNS
Implemente
e o bloqueio de cache; configurar o log de
uma soluo DNS
DNS; configurar a administrao delegada;
avanada
configurar a recurso; configurar o
ordenamento de mscara de rede; configurar
uma zona de GlobalNames

Contedo do curso
Lio
1/2/3

Md 12 Ex
1/2/3

Lio
1/2/3

Md 12 Ex
2/3

Lies 1/5
Lio 1/3

Md 11 Ex 1

Lio 1

Md 1 Ex 1

Lio 2

Md 1 Ex 2

Sobre este curso

xxvii

(continuao)

Exame 70-412: Configurao de servios avanados do Windows Server 2012


Domnio do objetivo do exame
Configurar servios de rede (17%)
Este objetivo pode incluir, mas no est
limitado a: Configurar o IPAM manualmente
ou usando a Poltica de Grupo; configurar
a descoberta de servidor; criar e gerenciar
Implantar e
blocos de IP e intervalos; monitorar a
gerenciar IPAM
utilizao do espao de Endereo IP; migrar
um IPAM; delegar a administrao de IPAM;
gerenciar colees de IPAM
Configurar a infra-estrutura do Active Directory (18%)
Este objetivo pode incluir, mas no est
limitado a: Implementar ambientes
multidomnio e multifloresta do Active
Directory incluindo interoperabilidade com
Configurar
verses anteriores do Active Directory;
uma floresta ou
atualizar domnios e florestas existentes
um domnio
incluindo preparao de ambiente e nveis
funcionais; configurar vrios sufixos
de nome UPN)
Este objetivo pode incluir, mas no est
limitado a: Configurar relaes de confiana
Configurar
externas, de atalho e realm; configurar
relaes de
autenticao da relao de confiana;
confiana
configurar filtragem de SID; configurar
roteamento de sufixo de nome
Este objetivo pode incluir, mas no est
limitado a: Configurar sites e sub-redes; criar
e configurar links de site; gerenciar cobertura
Configurar sites
de site; gerenciar registro de registros de SRV;
mover controladores de domnio entre sites
Este objetivo pode incluir, mas no est
limitado a: Configurar a replicao para
Gerenciar o
Controladores de Domnio Somente Leitura
Active Directory
(RODCs); configurar a Poltica de Replicao
e a replicao
de Senha (PRP) para RODCs; monitorar e
de SYSVOL
gerenciar a replicao; atualizar a replicao
de SYSVOL para Replicao DFSR

Contedo do curso
Md 1

Lio 3

Md 1 Ex 3

Md 4

Lio 1/2

Md 4 Ex 1

Md 4

Lio 3

Md 4 Ex
1/2

Md 5

Lio 2/3

Md 5 Ex
1/2/3

Md 5

Lio 1/3

Md 5 Ex 3

xxviii

Sobre este curso

(continuao)

Exame 70-412: Configurao de servios avanados do Windows Server 2012


Domnio do objetivo do exame
Configurar solues de identidade e acesso (15%)
Este objetivo pode incluir, mas no est
limitado a: Implementar a autenticao
baseada em declaraes incluindo Relaes
de Confiana de Terceira Parte Confivel;
Implementar
configurar regras de Relao de Confiana
os Servios de
de Provedor de Declaraes; configurar
Federao do
repositrios de atributos incluindo
Active Directory
Active Directory Lightweight Directory Services
2.1 (AD FSv2.1)
(AD LDS); gerenciar certificados do AD FS;
configurar o proxy do AD FS; integrar com
os Servios em Nuvem
Este objetivo pode incluir, mas no est
Instalar e
limitado a: Instalar uma CA (Autoridade de
configurar os
Certificao) Empresarial; configurar pontos de
AD CS
distribuio de CRL; instalar e configurar o
(Servios de
Respondente Online; implementar a separao
Certificados do
de funo administrativa; configurar o backup
Active Directory)
e a recuperao de CA
Este objetivo pode incluir, mas no est
limitado a: Gerenciar modelos de certificado;
implementar e gerenciar a implantao, a
validao e a revogao de certificado;
Gerenciar
gerenciar a renovao de certificado; gerenciar
certificados
a inscrio e a renovao de certificado em
computadores e usurios usando Polticas de
Grupo; configurar e gerenciar o arquivamento
e a recuperao de chave
Este objetivo pode incluir, mas no est
limitado a: Instalar um licenciamento ou
Instalar e
servidor AD RMS de certificado; gerenciar
configurar
o Ponto de Conexo de Servio (SCP) do
Active Directory
AD RMS; gerenciar a implantao de cliente
Rights
do AD RMS; gerenciar Domnios de Usurio
Management
Confiveis; gerenciar Domnios de Publicao
Services
Confiveis; gerenciar suporte Identidade
(AD RMS)
Federada; gerenciar modelos de RMS;
configurar Polticas de Excluso

Contedo do curso
Md 8

Lio
1/2/3/4

Md 8 Ex
1/2/3/4

Md 6

Lio
1/2/4

Mod 6 Lab A
Ex 1/2

Md 6

Lio
3/4/5

Mod 6 Lab B
Ex 1/2/3/4

Md 7

Lio
1/2/3/4

Md 7 Ex
1/2/3/4

Importante: participar deste curso em si no ir prepar-lo para passar em qualquer exame


de certificao associado.

Sobre este curso

xxix

Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:

Experincia prtica e real extensiva com a implementao, o gerenciamento e a configurao


do Windows Server 2012 Active Directory e uma infraestrutura de rede.

Experincia no provisionamento de infraestrutura e servios avanados em um ambiente


do Windows Server 2012.

Estudo adicional fora do contedo nesta apostila.

Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab3
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo
do pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab1
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.

xxx

Sobre este curso

Material do curso

Os seguintes materiais foram includos no seu kit:

Manual do curso: um guia de aprendizado sucinto de sala de aula que fornece informaes tcnicas
essenciais em um formato inteligente e concentrado, que fundamental para uma experincia de
aprendizado efetiva em sala de aula.

Lies: orientam voc pelos objetivos de aprendizagem e fornecem os pontos-chave que


so essenciais para o xito da experincia de aprendizagem em sala de aula.

Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas
e os conhecimentos aprendidos em cada mdulo.

Revises e informaes complementares do mdulo: fornecem material de referncia prtico


para incentivar a reteno do conhecimento e das tcnicas.

Gabaritos dos laboratrios: fornecem orientao passo a passo sobre a soluo do laboratrio.

Contedo complementar do curso no site http://www.microsoft.com/learning/companionmoc :


contedo digital fcil de navegar, pesquisvel com recursos online premium integrados que
complementam o Manual do curso.

Mdulos: incluem contedo complementar, como perguntas e respostas, etapas detalhadas


de demonstrao e links de leituras adicionais, para cada lio. Alm disso, eles incluem
perguntas e respostas da Reviso do laboratrio, bem como sees de Revises e informaes
complementares, que contm as perguntas e respostas da reviso, prticas recomendadas,
problemas comuns e dicas de soluo de problemas com respostas, alm de cenrios e
problemas reais com respostas.

Recursos: incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
premium mais recente no TechNet, MSDN ou Microsoft, Press,

Arquivos do Curso para o aluno no site http://www.microsoft.com/learning/companionmoc :


incluem o Allfiles.exe, um arquivo executvel autoextravel que contm todos os arquivos necessrios
para os laboratrios e as demonstraes.

Avaliao do curso: Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.

Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para conhecer o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.

Sobre este curso

Ambiente de mquina virtual

Esta seo contm as informaes de configurao do ambiente de sala de aula para oferecer suporte
ao cenrio corporativo do curso.

Configurao da mquina virtual


Neste curso, voc usar o Microsoft Hyper-V para executar os laboratrios.
Importante: ao final de cada laboratrio, feche a mquina virtual e no salve nenhuma
alterao. Para fechar uma mquina virtual sem salvar as alteraes, execute estas etapas:
1.

Na mquina virtual, no menu Ao, clique em Fechar.

2.

Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa?, clique
em Desativar e excluir alteraes e clique em OK.

A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual

Funo

24412B-LON-DC1/-B

Windows Server 2012


Controlador de domnio no domnio Adatum.com

24412B-LON-CA1

Windows Server 2012


Servidor autnomo

24412B-LON-CL1

Computador cliente Windows 8


Membro do domnio Adatum.com

24412B-LON-CL2

Computador cliente Windows 8


Membro do domnio Adatum.com

24412B-LON-CORE

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-LON-SVR1/-B

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-LON-SVR2

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-LON-SVR3

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-LON-SVR4

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-MUN-CL1

Computador cliente Windows 8


Membro do domnio Treyresearch.net

24412B-MUN-DC1

Windows Server 2012


controlador de domnio no domnio TreyResearch.net

24412B-LON-HOST1

Windows Server 2012


Servidor membro no domnio Adatum.com

xxxi

xxxii Sobre este curso

(continuao)
Mquina virtual

Funo

24412B-LON-HOST2

Windows Server 2012


Servidor membro no domnio Adatum.com

24412B-TOR-DC1

Windows Server 2012


Servidor membro no domnio Adatum.com

MSL-TMG1

Mquina virtual do Microsoft Forefront


Threat Management Gateway (TMG)

Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:

Windows Server 2012 Datacenter Edition

Windows 8

Office 2010, Service Pack 1 (SP1)

Arrumao da sala de aula


Cada computador da sala de aula ter a mesma mquina virtual configurada da mesma forma.

Nvel de hardware do curso


Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.

Processador Intel VT (Intel Virtualization Technology) ou AMD-V (AMD Virtualization)

Discos rgidos duplos 7200 RM SATA (Serial ATA) de 120 GB ou superior*

Memria de acesso aleatrio (RAM) de 8 GB

Unidade de DVD

Adaptador de rede

Monitor SVGA (Super VGA) de 17 polegadas

Mouse da Microsoft ou dispositivo apontador compatvel

Placa de som com alto-falantes amplificados

*Distribudo
Alm disso, o computador do instrutor deve estar conectado a um dispositivo de projeo compatvel
com SVGA de 1024 x 768 pixels e cores de 16 bits.

Sobre este curso

xxxiii

Navegao no Windows Server 2012


Se voc no estiver familiarizado com a interface do usurio no Windows Server 2012 ou Windows 8,
as informaes a seguir o ajudaro com a nova interface.

Entrar e Sair substituem Fazer Logon e Fazer Logoff.

As Ferramentas Administrativas so encontradas no menu Ferramentas do Gerenciador do Servidor.

Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:

Configuraes: isso inclui Painel de Controle e Energia

Menu Iniciar: isso fornece acesso a alguns aplicativos

Pesquisar: permite procurar aplicativos, configuraes e arquivos

As teclas de atalho a seguir tambm podem ser teis:

Windows: abre o menu Iniciar

Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto
inferior direito

Windows+I: Abre Configuraes

Windows+R: Abre a janela Executar

1-1

Mdulo 1
Implementao de servios de rede avanados
Contedo:
Viso geral do mdulo

1-1

Lio 1: Configurao de recursos avanados de DHCP

1-2

Lio 2: Definio das configuraes avanadas de DNS

1-12

Lio 3: Implementao de IPAM

1-24

Laboratrio: Implementao de servios de rede avanados

1-35

Reviso e informaes complementares do mdulo

1-42

Viso geral do mdulo


No Windows Server 2012, os servios de rede, como DNS (Sistema de Nomes de Domnio),
fornecem suporte crtico para a resoluo de nomes de recursos de rede e da Internet. No DNS,
as DNSSEC (Extenses de Segurana DNS) so um recurso avanado que fornece um meio de
proteger respostas de DNS a consultas de cliente de forma que usurios mal-intencionados no
possam falsific-las. Com o DHCP, voc pode gerenciar e distribuir endereos IP a computadores
cliente. DHCP essencial para gerenciar redes baseadas em IP. O failover de DHCP um recurso
avanado que pode impedir que clientes percam o acesso rede no caso de uma falha de
servidor DHCP. O IPAM (Gerenciamento de Endereo IP) fornece um meio unificado de controlar
o endereamento IP.
Este mdulo apresenta melhorias de DNS e DHCP, gerenciamento de endereo IP e fornece detalhes
como sobre implementar esses recursos.

Objetivos
Depois de concluir este mdulo, voc ser capaz de:

Configurar recursos de DHCP avanados.

Definir configuraes de DNS avanadas.

Implemente o IPAM.

1-2

Implementao de servios de rede avanados

Lio 1

Configurao de recursos avanados de DHCP


O DHCP tem uma importante funo na infraestrutura do sistema operacional Windows Server 2012.
Ele o principal meio de distribuio de informaes importantes sobre configurao de rede para
os clientes da rede, alm de fornecer informaes sobre configurao a outros servios habilitados
para rede, incluindo Servios de Implantao do Windows e NAP (Proteo de Acesso Rede). Para dar
suporte infraestrutura de rede baseada no Windows Server, importante entender a funo do servidor
DHCP. O Windows Server 2012 melhora a funcionalidade de DHCP fornecendo recursos de failover.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever os componentes do DHCP.

Explicar como configurar a interao do DHCP com o DNS.

Explicar como configurar designs de escopo DHCP avanados.

Explicar como o DHCP funciona com IPv6.

Descrever a proteo de nome DHCP.

Descrever o failover de DHCP.

Explicar como configurar o failover de DHCP.

Viso geral dos componentes de DHCP


O DHCP uma funo de servidor que pode
ser instalada no Windows Server 2012. Com a
funo de servidor DHCP, voc pode assegurar
que todos os clientes tenham endereos IP e
informaes de configurao de rede apropriados,
o que pode ajudar a eliminar o erro humano
durante a configurao. Um cliente DHCP
qualquer dispositivo que est executando
o software cliente DHCP e que pode solicitar
e recuperar configuraes de rede de um servio
de servidor DHCP. Os clientes DHCP podem ser
computadores, dispositivos mveis, impressoras
ou comutadores. O DHCP tambm pode fornecer informaes de endereo IP para clientes
de inicializao de rede.

Configurao de servios avanados do Windows Server 2012

1-3

Quando as principais informaes de configurao de rede so alteradas na rede (como o endereo de


gateway padro), voc pode atualizar a configurao usando a funo de servidor DHCP sem ter que
modificar as informaes diretamente em cada computador. O DHCP tambm um servio importante
para usurios mveis que mudam de rede com frequncia. Voc pode instalar a funo de servidor
DHCP em um servidor autnomo, um servidor de membros de domnio ou um controlador de domnio.
O DHCP consiste nos componentes que so listados na tabela a seguir.
Componente
Servio do
servidor DHCP
Escopos DHCP

Descrio
Depois de instalar a funo de DHCP, o servidor DHCP implementado como
um servio. Esse servio pode distribuir endereos IP e outras informaes
de configurao de rede a clientes que fazem esse tipo de solicitao.
O administrador de DHCP configura o intervalo de endereos IP e
informaes relacionadas que alocado ao servidor para distribuio
para clientes que fazem a solicitao. Cada escopo s pode ser associado
a uma nica sub-rede IP. Um escopo deve consistir em:
Nome e descrio
Um intervalo de endereos que podem ser distribudos
Uma mscara de sub-rede
Um escopo tambm pode definir:
Endereos IP que devem ser excludos da distribuio
A durao da concesso do endereo IP
Opes de DHCP
Voc pode configurar um nico servidor DHCP com vrios escopos, mas
o servidor deve ser conectado diretamente a cada sub-rede que serve ou
ter um agente de retransmisso DHCP em vigor. Os escopos tambm so
a maneira principal para o servidor gerenciar e distribuir qualquer parmetro
de configurao relacionado (opes de DHCP) a clientes na rede.

Opes de DHCP

Quando voc atribui o endereo IP ao cliente, tambm pode atribuir


simultaneamente muitos outros parmetros de configurao de rede.
As opes de DHCP mais comuns incluem:
Endereo IP de gateway padro
Endereo IP do servidor DNS
Sufixo do domnio DNS
Endereo IP do servidor WINS
possvel aplicar as opes em nveis diferentes. Elas podem ser aplicadas
do seguinte modo:
Globalmente a todos os escopos
Especificamente a escopos determinados
A clientes especficos de acordo com um valor de ID de classe
A clientes que tm reservas especficas de endereo IP configuradas
Observao: Escopos de IPv6 so ligeiramente diferentes e sero
discutidos posteriormente nesta lio.

1-4

Implementao de servios de rede avanados

(continuao)
Componente

Descrio

Banco de
dados DHCP

O banco de dados do DHCP contm dados de configurao sobre o servidor


DHCP e armazena informaes sobre os endereos IP que foram distribudos.
Por padro, os arquivos de banco de dados do DHCP so armazenados na
pasta %systemroot%\System32\Dhcp.

Console DHCP

O console DHCP a principal ferramenta administrativa para gerenciar todos


os aspectos do servidor DHCP. Este console de gerenciamento instalado
automaticamente em qualquer servidor que tem a funo de DHCP instalada.
Porm, voc tambm pode instal-lo em um servidor remoto ou cliente
Windows 8 usando o RSAT (Ferramentas de Administrao de Servidor
Remoto) e conectando ao servidor DHCP para gerenciamento remoto.

Como clientes adquirem endereos IP


Quando voc configurar um sistema operacional cliente Windows para usar o servio DHCP, durante
a inicializao, o cliente usar uma difuso de IP em sua sub-rede para solicitar a configurao de IP
de qualquer servidor DHCP que possa receber a solicitao. Como DHCP usa difuses de IP para
iniciar comunicaes, os servidores DHCP so limitados comunicao dentro de suas sub-redes IP.
Isto significa que deve haver um servidor DHCP em cada sub-rede IP ou um agente de retransmisso
DHCP configurado na sub-rede remota. O servio de retransmisso DHCP pode retransmitir pacotes
de difuso DHCP como mensagens dirigidas em outras sub-redes IP por um roteador. O agente de
retransmisso adquire uma configurao de endereo IP em nome do cliente que faz a solicitao
na sub-rede remota e ento encaminha essa configurao ao cliente.

Concesses de DHCP
O DHCP aloca endereos IP em um processo dinmico. Isso conhecido como concesso. Voc pode
configurar a durao da concesso. O tempo de concesso padro para clientes com fio de oito dias.
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar renovar a
concesso. Esse processo automtico ocorre em segundo plano. Os computadores podem ter o mesmo
endereo IP por um longo perodo se operarem continuamente em uma rede sem serem desligados.
Os computadores cliente tambm tentam fazer a renovao durante o processo de inicializao.

Autorizao de Servidor DHCP


Se o servidor for um membro de domnio, voc dever autorizar a funo de servidor DHCP do
Windows Server 2012 no AD DS (Servios de Domnio do Active Directory) antes de comear a
conceder endereos IP. Voc deve ser Administrador Corporativo para autorizar o servidor DHCP.
Servidores da Microsoft autnomos verificam se h um servidor DHCP na rede e, nesse caso,
no iniciaro o servio DHCP.

Configurao de servios avanados do Windows Server 2012

1-5

Configurao da interao de DHCP com DNS


Durante a alocao dinmica de endereo IP,
o servidor DHCP cria registros de recurso
automaticamente para clientes DHCP no banco
de dados de DNS. Porm, esses registros no
podem ser excludos automaticamente quando
a concesso do DHCP cliente expira. Voc pode
configurar opes de DHCP para permitir
que o servidor DHCP possua e controle
completamente a criao e excluso desses
registros de recurso DNS.

Configurao da opo de DHCP 081


Voc pode configurar a opo de DHCP 081 para
controlar o modo como so atualizados os registros de recurso no banco de dados de DNS. Esta opo
permite ao cliente fornecer seu FQDN (nome de domnio totalmente qualificado) e instrues ao servidor
DHCP sobre como gostaria que o servidor processasse atualizaes dinmicas de DNS. Voc configura
a opo 081 na guia DNS da caixa de dilogo Propriedades para o n de protocolo, ou por escopo
no console DHCP. Voc tambm pode configurar o DHCP para executar atualizaes para seus clientes
para qualquer servidor DNS que suporta atualizaes dinmicas.
Por padro, o servidor DHCP se comporta da seguinte maneira:

O servidor DHCP atualiza dinamicamente os registros de recurso de host de endereo de DNS (A)
e os registros de recurso de ponteiro (PTR) s se solicitado pelos clientes DHCP. Por padro,
o cliente solicita que o servidor DHCP registre o registro de recurso de ponteiro do DNS (PTR),
enquanto o cliente registra seu prprio registro de recurso de host de DNS (A).

O servidor DHCP descarta os registros de recurso de host (A) e de ponteiro (PTR) quando
a concesso do cliente excluda.

Voc pode modificar essa opo de forma que instrua o servidor DHCP a sempre atualizar dinamicamente
os registros de recurso de host de DNS (A) e de ponteiro (PTR), independentemente das solicitaes do
cliente. Desse modo, o servidor DHCP se torna o proprietrio do registro de recurso porque o servidor
DHCP executou o registro dos registros de recurso. Quando o servidor DHCP se torna o proprietrio dos
registros de recurso de host (A) e de ponteiro (PTR) do computador cliente, s esse servidor DHCP pode
atualizar os registros de recurso de DNS para o computador cliente com base na durao e renovao
da concesso do DHCP.

1-6

Implementao de servios de rede avanados

Configurao de designs avanados de escopo DHCP


Voc pode configurar designs avanados
de escopo DHCP chamados superescopos.
Um superescopo uma coleo de escopos
individuais que so agrupados para fins
administrativos. Isso permite que os
computadores cliente recebam um endereo IP de
vrias
sub-redes lgicas, at mesmo quando os clientes
estiverem localizados na mesma sub-rede fsica.
Voc s poder criar um superescopo se j tiver
dois ou mais escopos de IP criados no DHCP.
Voc pode usar o Assistente para Novos
Superescopos para selecionar os escopos que deseja combinar para criar um superescopo.

Benefcios dos superescopos


Um superescopo til em vrias situaes. Por exemplo, se um escopo esgotar endereos e no for
possvel adicionar mais endereos de uma sub-rede, voc poder adicionar uma nova sub-rede ao
servidor DHCP. Esse escopo conceder endereos aos clientes na mesma rede fsica, mas os clientes
ficaro em uma rede separada logicamente. Esse processo conhecido como multinetting. Depois
de adicionar uma nova sub-rede, configure os roteadores para reconhecer a nova sub-rede a fim
de garantir comunicaes locais na rede fsica.
Um superescopo tambm til quando h a necessidade de mover clientes gradualmente para um
novo esquema de numerao IP. Ter dois esquemas de numerao para a durao da concesso
original indica que possvel mover os clientes para a nova sub-rede de maneira transparente.
Ao renovar todas as concesses de cliente na nova sub-rede, voc poder aposentar a antiga.

Escopos do multicast
Um escopo do multicast uma coleo de endereos multicast do intervalo de endereos IP de classe D,
de 224.0.0.0 a 239.255.255.255 (224.0.0.0/3). Esses endereos so usados quando os aplicativos precisam
se comunicar eficientemente com vrios clientes ao mesmo tempo. Isso feito com vrios hosts que
escutam o trfego para obter o mesmo endereo IP.
Um escopo do multicast geralmente conhecido como um escopo MADCAP (Multicast Address Dynamic
Client Allocation Protocol). Os aplicativos que solicitarem endereos desses escopos devero oferecer
suporte API (interface de programao de aplicativos) do MADCAP. Servios de Implantao
do Windows um exemplo de um aplicativo que suporta transmisses de multicast.
Os escopos do multicast permitem que os aplicativos reservem um endereo IP de multicast
para fornecimento de dados e contedo.

Configurao de servios avanados do Windows Server 2012

1-7

Integrao do DHCP com IPv6


O IPv6 pode se configurar sem DHCP. Clientes
habilitados para IPv6 tm um endereo IPv6
de link-local atribudo automaticamente.
Um endereo de link-local s deve ser usado
para comunicaes dentro da rede local.
equivalente aos endereos 169.254.0.0
atribudos automaticamente usados por IPv4.
As interfaces de rede habilitadas para IPv6
podem ter, e frequentemente tm, mais de
um endereo IPv6. Por exemplo, os endereos
podem incluir um endereo de link-local atribudo
automaticamente e um endereo global atribudo
pelo DHCP. Usando o DHCP para IPv6 (DHCPv6), um host IPv6 pode obter prefixos de sub-rede,
endereos globais e outros parmetros de configurao de IPv6.
Observao: Voc deve obter um bloco de endereos IPv6 de um Registro
de Internet Regional. H cinco registros de Internet regionais no mundo. So eles:

AfriNIC (Centro de Informaes de Rede Africano) para a frica

APNIC (Centro de Informaes de Rede da sia-Pacfico) para sia, Austrlia, Nova Zelndia
e pases vizinhos

ARIN (Registro Americano para Nmeros de Internet) para Canad, muitas ilhas do Caribe
e do Atlntico Norte e os Estados Unidos

LACNIC (Centro de Informaes de Rede da Amrica Latina e Caribe) para a Amrica Latina
e partes da regio caribenha

RIPE NCC (Centro de Coordenao de Rede Rseaux IP Europens) para Europa, Rssia,
Oriente Mdio e sia Central

Configurao com e sem estado


Sempre que adiciona a funo de servidor DHCP a um computador Windows Server 2012, voc tambm
instala um servidor DHCPv6 automaticamente. O Windows Server 2012 suporta configuraes DHCPv6
com e sem estado:

Configurao com estado. Ocorre quando o servidor DHCPv6 atribui o endereo IPv6 ao cliente
juntamente com os dados adicionais do DHCP.

Configurao sem fio. Ocorre quando o IPv6 atribudo automaticamente pelo roteador de sub-rede
e quando o servidor DHCPv6 atribui somente outras definies de configurao do DHCP.

1-8

Implementao de servios de rede avanados

Escopos DHCPv6 para IPv6


Os escopos DHCPv6 para IPv6 devem ser criados separadamente de escopos de IPv4. Escopos de IPv6
tm um mecanismo de concesso aprimorado e vrias opes diferentes. Ao configurar um escopo
do DHCPv6, voc deve definir as propriedades listadas na tabela a seguir.
Propriedade

Uso

Nome e descrio

Esta propriedade identifica o escopo.

Prefixo

O prefixo de endereo IPv6 anlogo ao intervalo de endereos IPv4.


Define a parte de rede do endereo IP.

Preferncia

Esta propriedade informa aos clientes de DHCPv6 qual servidor deve


ser usado se houver vrios servidores DHCPv6.

Excluses

Esta propriedade define endereos nicos ou blocos de endereos


que esto dentro do prefixo IPv6, mas que no sero oferecidos
para concesso.

Tempos de vida
vlidos e preferenciais

Esta propriedade define por quanto tempo os endereos concedidos


sero vlidos.

Opes de DHCP

Assim como com IPv4, existem muitas opes disponveis.

Configurao de um escopo IPv6


Voc pode usar o Assistente para Novos Escopos para criar escopos IPv6:
1.

No console DHCP, clique com o boto direito no n IPv6 e clique em Novo Escopo.

2.

Configure um prefixo e preferncia de escopo.

3.

Defina os endereos IP inicial e final e as excluses.

4.

Configure as propriedades de vida til Preferido e Vlido.

5.

Ative o escopo para ativ-lo.

O que proteo de nome DHCP?


Voc deve proteger os nomes o DHCP registra
em DNS em nome de outros computadores
ou sistemas contra substituio por sistemas
operacionais no Windows que usam os mesmos
nomes. Alm disso, voc tambm deve proteger
os nomes contra substituio por sistemas que
usam endereos estticos que esto em conflito
com endereos atribudos pelo DHCP quando
eles usam o DNS no seguro, e o DHCP no
configurado para deteces de conflito.
Por exemplo, um sistema baseado em UNIX
chamado Client1 poderia substituir o endereo
DNS que foi atribudo e registrado por DHCP em nome de um sistema baseado no Windows tambm
chamado Client1. Um novo recurso no Windows Server 2012, Proteo de Nome DHCP, resolve
esse problema.

Configurao de servios avanados do Windows Server 2012

1-9

Acocoramento de nome o termo usado para descrever o conflito que ocorre quando um cliente registra
um nome com DNS, mas esse nome j usado por outro cliente. Esse problema faz com que a mquina
original fique inacessvel e ocorre normalmente com sistemas que tm os mesmos nomes de sistemas
operacionais Windows. A Proteo de Nome DHCP resolve isso usando um registro de recurso conhecido
como DHCID (Identificador de Configurao de Host Dinmico) para acompanhar quais mquinas
solicitaram quais nomes originalmente. O servidor DHCP fornece o registro de DHCID, que armazenado
em DNS. Quando o servidor DHCP recebe uma solicitao de uma mquina com um nome existente
para um endereo IP, o servidor DHCP pode recorrer ao DHCID em DNS verificar se a mquina que
est pedindo o nome a mquina original que usou o nome. Se no for a mesma mquina, o registro
de recurso DNS no ser atualizado.
Voc pode implementar a proteo de nome para IPv4 e IPv6. Alm disso, voc pode configurar
a Proteo de Nome DHCP no nvel do servidor e no nvel do escopo. A implementao no nvel
do servidor s se aplicar a escopos criados recentemente.
Para ativar a Proteo de Nome DHCP para um n IPv4 ou IPv6:
1.

Abra o console do DHCP.

2.

Clique com o boto direito do mouse no n IPv4 ou IPv6 e abra a pgina Propriedade.

3.

Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.

Para habilitar a Proteo de Nome DHCP para um escopo:


1.

Abra o MMC (Console de Gerenciamento Microsoft) do DHCP.

2.

Expanda o n IPv4 ou IPv6, clique com o boto direito no escopo e abra a pgina Propriedade.

3.

Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.

O que failover de DHCP?


O DHCP gerencia a distribuio de endereos IP
em redes TCP/IP de todos os tamanhos.
Quando esse servio falha, os clientes perdem
conectividade rede e todos os seus recursos.
Um novo recurso no Windows Server 2012,
failover de DHCP, resolve esse problema.

Failover de DHCP
Os clientes DHCP renovam suas concesses
nos endereos IP em intervalos regulares
configurveis. Quando o servio DHCP falha,
o tempo limite de concesses atingido e
os clientes j no tm endereos IP. No passado,
o failover de DHCP no era permitido porque os servidores DHCP eram independentes e no se
reconheciam. Portanto, configurar dois servidores DHCP separados para distribuir o mesmo pool de
endereos podia levar a endereos duplicados. Adicionalmente, fornecer servios DHCP redundantes
exigia que voc configurasse clusters e executasse uma quantidade significativa de configurao
manual e monitoramento.

1-10 Implementao de servios de rede avanados

O novo recurso Failover de DHCP permite que dois servidores DHCP forneam endereos IP
e configuraes opcionais s mesmas sub-redes ou escopos. Portanto, voc pode configurar
dois servidores DHCP para replicar informaes de concesso. Se um dos servidores falhar,
o outro servidor atender os clientes da sub-rede inteira.
Observao: No Windows Server 2012, voc pode configurar s dois servidores DHCP
para failover e s para escopos e sub-redes de IPv4.

Configurao de failover de DHCP


Para configurar o failover de DHCP, voc precisa estabelecer uma relao de failover entre os dois
servios de servidores DHCP. Voc tambm tem que dar para essa relao um nome exclusivo. Os
parceiros de failover trocam esse nome durante a configurao. Isso permite que um nico servidor
DHCP tenha vrias relaes de failover com outros servidores DHCP, contanto que todos tenham
nomes exclusivos. Para configurar failover, use o Assistente de Configurao de Failover que voc
pode iniciar clicando com o boto direito no n de IP ou no n do escopo.
Observao: O failover de DHCP se baseia na hora. Voc deve sincronizar a hora entre os
parceiros na relao. Se a diferena de hora for maior que um minuto, o processo de failover ser
paralisado com um erro crtico.
Voc pode configurar o failover de um dos dois modos a seguir.
Modo

Caractersticas

Espera ativa

Neste modo, um servidor o servidor primrio e o outro o servidor


secundrio. O servidor primrio atribui configuraes de IP ativamente
para o escopo ou sub-rede. O servidor DHCP secundrio s assumir essa
funo se o servidor primrio ficar indisponvel. Um servidor DHCP pode
agir simultaneamente como primrio para um escopo ou sub-rede, e ser o
secundrio para outro. Os administradores devem configurar um percentual
dos endereos de escopo a serem atribudos ao servidor em espera. Esses
endereos sero fornecidos durante o intervalo de MCLT (Prazo de Entrega
Mximo do Cliente) se o servidor primrio estiver desligado. O valor padro
de MCLT 5% do escopo. O servidor secundrio assume o controle do
intervalo de IP inteiro depois que o intervalo de MCLT termina.
O modo Espera ativa mais adequado para implantaes nas quais um site de
recuperao de desastres est localizado em um local diferente. Desse modo,
o servidor DHCP no atender clientes a menos que haja uma interrupo do
servidor principal.

Compartilhamento
de carga

Este o modo padro. Nesse modo, ambos os servidores fornecem


configurao de IP simultaneamente aos clientes. O servidor que responde
a solicitaes de configurao de IP depende de como o administrador
configura a taxa de distribuio de carga. A taxa padro 50:50.

MCLT
O administrador configura o parmetro MCLT para determinar a quantidade de tempo que um servidor
DHCP deve esperar quando um parceiro est indisponvel, antes de assumir o controle do intervalo
de endereos. Esse valor no pode ser zero e o padro uma hora.

Configurao de servios avanados do Windows Server 2012

1-11

Intervalo de alternncia automtica de estado


Um estado de comunicao interrompida ocorre quando um servidor perde contato com seu parceiro.
Como o servidor no tem nenhum modo de saber o que est causando a perda de comunicao,
permanece nesse estado at o administrador alter-lo manualmente para um estado de desativao
de parceiro. O administrador tambm pode habilitar a transio automtica para o estado de desativao
de parceiro configurando o intervalo de alternncia automtica de estado. O valor padro desse intervalo
10 minutos.

Autenticao de mensagens
O Windows Server 2012 permite autenticar o trfego de mensagem de failover entre os parceiros
de replicao. O administrador pode estabelecer um segredo compartilhado, como uma senha,
no Assistente de Configurao de Failover para failover de DHCP. Isso confirma que a mensagem
de failover vem do parceiro de failover.

Consideraes de firewall
O DHCP usa a porta TCP 647 para escutar o trfego de failover. A instalao de DHCP cria as seguintes
regras de firewall de entrada e de sada:

Microsoft-Windows-DHCP-Failover-TCP-In

Microsoft-Windows-DHCP-Failover-TCP-Out

Demonstrao: Configurao de failover de DHCP


Nesta demonstrao, voc ver como configurar uma relao de failover de DHCP.

Etapas da demonstrao
Configure uma relao de failover de DHCP
1.

Entre em LON-SVR1 como Adatum\Administrador com uma senha Pa$$w0rd. Observe


que o servidor autorizado, mas que nenhum escopo configurado.

2.

Alterne para LON-DC1. No Gerenciador do Servidor, clique em Ferramentas e, na lista suspensa,


clique em DHCP.

3.

No console DHCP, inicie o Assistente de Configurao de Failover.

4.

Configure uma replicao de failover com as seguintes definies:


o

Servidor de parceiro: 172.16.0.21

Nome da relao: Adatum

Prazo de Entrega Mximo do Cliente: 15 minutos

Modo: Balancear carga

Percentual de balanceamento de carga: 50%

Intervalo de alternncia de estado: 60 minutos

Segredo compartilhado de autenticao de mensagem: Pa$$w0rd

5.

Conclua o Assistente de Configurao de Failover.

6.

Volte a LON-SVR1 e observe que o n IPv4 ativo e o escopo Adatum configurado.

1-12 Implementao de servios de rede avanados

Lio 2

Definio das configuraes avanadas de DNS


Em redes TCP/IP de qualquer tamanho, alguns servios so essenciais. DNS um dos servios de rede
mais crticos para qualquer rede, pois muitos outros aplicativos e services, incluindo AD DS, usam o
DNS para resolver nomes de recursos a endereos IP. Sem DNS, as autenticaes de usurio falham
e os recursos e aplicativos baseados em rede podem ficar inacessveis. Para que isso funcione, voc
precisa gerenciar e proteger o DNS. Esta lio discute tcnicas de gerenciamento e opes para
otimizar a resoluo de DNS. O Windows Server 2012 implementa DNSSEC para proteger respostas
de DNS. O Windows Server 2012 tambm suporta zonas de nome globais para fornecer resoluo
de nome de rtulo nico.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Gerenciar servios de DNS.

Otimizar a resoluo de nomes DNS.

Descrever zonas de nome globais.

Descrever opes para implementar a segurana de DNS.

Explicar como funciona o DNSSEC.

Descrever os novos recursos DNSSEC para Windows Server 2012.

Explicar como configurar o DNSSEC.

Gerenciamento de servios de DNS


Assim como outros servios de rede importantes,
voc deve gerenciar o DNS. O gerenciamento
de DNS consiste nas seguintes tarefas:

Delegao da administrao de DNS

Configurao de logs do DNS

Durao e eliminao

Backup do banco de dados DNS

Delegao da administrao de DNS


Por padro, o grupo Administradores de
Domnio tem permisses totais para gerenciar
todos os aspectos do servidor DNS em seu domnio de incio e o grupo Administradores da Empresa tem
permisses totais para gerenciar todos os aspectos de todos os servidores DNS em qualquer domnio na
floresta. Se voc precisar delegar a administrao de um servidor DNS a um usurio ou grupo diferente,
poder acrescentar esse usurio ou grupo global ao grupo Administradores de DNS para um determinado
domnio na floresta. Os membros do grupo Administradores de DNS podem exibir e podem modificar
todos os dados de DNS, configuraes e configuraes de servidores DNS em seu domnio de incio.
O grupo Administradores de DNS um grupo de segurana Domnio Local e, por padro, no tem
nenhum membro.

Configurao de servios avanados do Windows Server 2012

1-13

Configurao de logs do DNS


Por padro, o DNS mantm um log de servidor DNS que voc pode exibir no Visualizador de Eventos.
Esse log de eventos est localizado na pasta Logs de Aplicativos e Servios em Visualizador de Eventos.
Registra eventos comuns como:

Incio e parada do servio de DNS.

Carregamento em segundo plano e eventos de assinatura de zona.

Alteraes nas configuraes do DNS.

Vrios avisos e eventos de erro.

Para obter logs mais detalhados, voc pode habilitar os logs de depurao. As opes de log
de depurao so desabilitadas por padro, mas podem ser habilitadas seletivamente. As opes
de log de depurao incluem o seguinte:

Direo de pacotes

Contedo dos pacotes

Protocolo de transporte

Tipo de solicitao

Filtragem com base no endereo IP

Especificao de nome e local do arquivo de log, que est localizado no diretrio


%windir%\System32\DNS

Limite de tamanho mximo do arquivo de log

O log de depurao pode usar muitos recursos. Pode afetar o desempenho do servidor global
e pode consumir espao em disco. Portanto, ele s dever ser ativado temporariamente, quando
forem necessrias informaes mais detalhadas sobre o desempenho do servidor. Para habilitar
as opes do log de depurao no servidor DNS, faa o seguinte:
1.

Abra o console do DNS.

2.

Clique com o boto direito do mouse do mouse no servidor DNS aplicvel e clique em
Propriedades.

3.

Na caixa de dilogo Propriedades, clique na guia Log de Depurao.

4.

Selecione Pacotes de log para depurar e selecione os eventos para os quais voc deseja
que o servidor DNS registre o log de depurao.

Durao e eliminao
As atualizaes dinmicas de DNS acrescentam registros de recurso automaticamente zona, mas em
alguns casos esses registros no so excludos automaticamente quando no so mais necessrios. Por
exemplo, se um computador registrar seu prprio registro de recurso de host (A) e for desconectado da
rede de forma inadequada, possvel que esse registro no seja excludo. Esses registros, conhecidos
como registros obsoletos, ocupam espao no banco de dados de DNS e podem resultar no retorno de
uma resposta de consulta incorreta. O Windows Server 2012 pode procurar esses registros obsoletos
e, com base na durao do registro, elimin-los do banco de dados de DNS.

1-14 Implementao de servios de rede avanados

A durao e eliminao so desabilitadas por padro. Voc pode habilitar a durao e eliminao nas
propriedades Avanadas do servidor DNS ou pode habilitar isso para zonas selecionadas na janela
Propriedades da zona.
A durao determinada usando parmetros conhecidos como Intervalo de atualizao e Intervalo sem
atualizao. O Intervalo de atualizao a data e hora que o registro est qualificado para ser atualizado
pelo cliente. O padro sete dias. O Intervalo sem atualizao o perodo que o registro no est
qualificado para ser atualizado. Por padro, equivale a sete dias. No curso normal de eventos, um registro
do host de cliente no pode ser atualizado no banco de dados durante sete dias depois de ser registrado
ou atualizado. Porm, deve ser atualizado nos prximos sete dias depois do intervalo sem atualizao,
ou o registro ficar qualificado para ser eliminado do banco de dados. Um cliente tentar atualizar
seu registro de DNS na inicializao, e a cada 24 horas enquanto o sistema estiver em execuo.
Observao: Os registros que so adicionados dinamicamente ao banco de dados
possuem um carimbo de data/hora. Os registros estticos nos que voc entra manualmente
tm um valor de carimbo de data/hora igual a zero 0; portanto, eles no sero afetados pela
durao e no sero eliminados do banco de dados.

Backup do banco de dados DNS


O modo como voc faz backup do banco de dados de DNS depende de como o DNS foi implementado
em sua organizao. Se sua zona DNS tiver sido implementada como uma zona integrada do
Active Directory, sua zona DNS ser includa no arquivo ntds.dit do banco de dados do Active Directory.
Se a zona DNS for uma zona primria e no for armazenada no AD DS, o arquivo ser armazenado
como um arquivo .dns na pasta %SystemRoot%\System32\Dns.

Backup de zonas integradas ao Active Directory


As zonas integradas ao Active Directory so armazenadas no AD DS e o backup feito como parte
de um Estado do Sistema ou um backup completo de servidor. Alm disso, voc pode fazer backup
apenas da zona integrada ao Active Directory usando a ferramenta de linha de comando dnscmd.
Para fazer backup de uma zona integrada ao Active Directory, execute as seguinte etapas:
1.

Inicie um prompt de comando com privilgios elevados.

2.

Execute o seguinte comando:


dnscmd /ZoneExport <nome da zona> <nome de arquivo de zona>

onde <nome da zona> o nome de sua zona DNS e <nome de arquivo de zona> o arquivo que
voc deseja criar para conter as informaes de backup.
A ferramenta dnscmd exporta os dados de zona para o nome do arquivo que voc designa no comando,
para o diretrio %windir%\System32\DNS.
Voc tambm pode usar o Windows PowerShell para executar a mesma tarefa. No Windows PowerShell,
voc usa o cmdlet Export-DnsServerZone. Por exemplo, se voc desejar exportar uma zona chamada
contoso.com, digite o comando a seguir:
Export-DnsServerZone Name contoso.com Filename contoso

Configurao de servios avanados do Windows Server 2012

1-15

Backup de zonas primrias


Fazer backup de uma zona primria que no armazenada no AD DS simplesmente uma questo de
copiar ou fazer backup do arquivo de zona individual, zonename.dns, que est localizado no diretrio
%windir%\System32\DNS. Por exemplo, se sua zona primria de DNS for chamada Adatum.com,
o arquivo de zona DNS ser chamado Adatum.com.dns.

Otimizao da resoluo de nomes DNS


Em um evento de consulta DNS tpico, um
computador cliente tenta resolver um FQDN
a um endereo IP. Por exemplo, se um usurio
tentar ir para o FQDN www.microsoft.com,
o computador cliente executar uma consulta
recursiva ao servidor DNS que est configurado
para descobrir o endereo IP associado a esse
FQDN. O servidor DNS local deve responder
com uma resposta autorizada. Se o servidor
DNS local tiver uma cpia da zona DNS para a
qual foi consultado, responder com uma
resposta autorizada ao computador cliente. Se o
servidor DNS local no tiver essas informaes, executar a recurso.
Recurso se refere ao processo de fazer com que o prprio servidor DNS local faa uma consulta recursiva
a outro servidor DNS at encontrar a resposta autorizada e, ento, retornar essa resposta ao cliente que
fez a solicitao original. Por padro, esse servidor ser um dos servidores na Internet listados como
uma dica de raiz. Quando o servidor DNS local receber uma resposta, retornar essas informaes ao
computador cliente da solicitao original.
H vrias opes disponveis para otimizar a resoluo de nomes DNS. Elas incluem recursos como:

Encaminhamento

Encaminhamento condicional

Zonas de stub

Ordenao de mscara de rede

Encaminhamento
Um encaminhador um servidor DNS de rede que voc configura para encaminhar consultas de
DNS para nomes de host que no pode resolver para outros servidores DNS para resoluo. Em um
ambiente tpico, o servidor DNS interno encaminha consultas para nomes de host DNS externos a
servidores DNS na Internet. Por exemplo, se o servidor DNS de rede local no puder resolver uma
consulta autoritariamente para www.microsoft.com, o servidor DNS local poder encaminhar a
consulta ao servidor DNS do ISP (provedor de servios de Internet) para resoluo.

1-16 Implementao de servios de rede avanados

Encaminhamento condicional
Voc tambm pode usar encaminhadores condicionais para encaminhar consultas de acordo com
nomes de domnios especficos. Um encaminhador condicional uma configurao que voc define
em um servidor DNS que permite o encaminhamento de consultas de DNS com base no nome de
domnio DNS da consulta. Por exemplo, voc pode configurar um servidor DNS para encaminhar todas
as consultas por ele recebidas sobre nomes que terminam com corp.adatum.com para o endereo IP
de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS. Isso pode ser til
quando voc tem vrios namespaces DNS em uma floresta. Por exemplo, suponha que Contoso.com
e Adatum.com so mesclados. Em vez de cada domnio ter que hospedar uma rplica completa do
banco de dados de DNS do outro domnio, voc pode criar encaminhadores condicionais de forma
que eles apontem aos servidores DNS especficos um do outro para resoluo de nomes DNS internos.

Zonas de stub
Uma zona de stub a cpia de uma zona que contm apenas os registros de recursos necessrios
para identificar os servidores DNS autoritativos dessa zona. Uma zona de stub resolve nomes entre
namespaces DNS separados, o que pode ser necessrio quando voc deseja que um servidor DNS
que est hospedando uma zona pai continue reconhecendo todos os servidores DNS autorizados para
uma de suas zonas filho. Uma zona de stub hospedada em um servidor DNS de domnio pai receber
uma lista de todos os novos servidores DNS da zona filho, quando solicita uma atualizao do servidor
mestre da zona de stub. Usando esse mtodo, o servidor DNS que hospeda a zona pai mantm uma lista
atualizada dos servidores DNS autoritativos para a zona filho conforme eles so adicionados e removidos.
Uma zona de stub apresenta:

Registro de recurso de SOA (incio de autoridade) da zona delegada, registros de recurso NS


(servidor de nome) e registros de recurso de host (A).

O endereo IP de um ou mais servidores mestres que podem ser usados para atualizar a zona
de stub.

As zonas de stub tm as seguintes caractersticas:

Voc cria zonas de stub usando o Assistente de Nova Zona.

Voc pode armazenar zonas de stub no AD DS.

Voc pode replicar zonas de stub s no domnio ou ao longo da floresta inteira.

Servidores mestre de zona de stub so um ou mais servidores DNS responsveis pela cpia inicial
das informaes da zona e geralmente so o servidor DNS que hospeda a zona primria do nome
do domnio delegado.

Ordenao de mscara de rede


A ordenao de mscara de rede retorna endereos para consultas de DNS de registros de endereo tipo
A (registro A) que priorizam recursos na sub-rede local do computador cliente para o cliente. Em outras
palavras, endereos de hosts que esto na mesma sub-rede do cliente solicitante tero uma prioridade
mais alta na resposta de DNS para o computador cliente.
A localizao baseada em endereos IP. Por exemplo, se houver vrios registros A associados ao
mesmo nome DNS, e cada registro A estiver localizado em uma sub-rede de IP diferente, a ordenao
de mscara de rede retornar um registro A que est na mesma sub-rede de IP do computador cliente
que fez a solicitao.

Configurao de servios avanados do Windows Server 2012

1-17

O que a zona GlobalNames?


O Servio Servidor DNS no Windows Server 2012
fornece a zona GlobalNames, que pode ser usada
para conter os nomes de rtulo nico que so
exclusivos em uma floresta inteira. Isso elimina
a necessidade de usar o WINS baseado em
NetBIOS para dar suporte a nomes de rtulo
nico. As zonas GlobalNames fornecem resoluo
de nome de rtulo nico para redes de grandes
empresas que no implantam o WINS e tm
vrios ambientes de domnio DNS. As zonas
GlobalNames so criadas manualmente e
no suportam registro de registro dinmico.
Quando os clientes tentam resolver nomes curtos, eles acrescentam seu nome de domnio DNS
automaticamente. Dependendo da configurao, eles tambm tentam localizar o nome no nome
de domnio de nvel superior ou procuram na lista de sufixos de nome. Portanto, nomes curtos so
resolvidos no mesmo domnio.
Voc usa uma zona GlobalNames para manter uma lista de sufixos de pesquisa DNS para resolver nomes
entre vrios ambientes de domnio DNS. Por exemplo, se uma organizao suportar dois domnios DNS,
como adatum.com e contoso.com, os usurios no domnio DNS adatum.com precisaro usar um FQDN
como data.contoso.com para localizar os servidores em contoso.com. Caso contrrio, o administrador
do domnio precisa adicionar um sufixo de pesquisa DNS para contoso.com em todos os sistemas
no domnio adatum.com. Se os clientes procurarem o nome de servidor data, a pesquisa falhar.
Os nomes globais se baseiam em registros de recurso de criao de alias (CNAME) em uma zona
de pesquisa direta especial que usa nomes nicos para apontar a FQDNs. Por exemplo, as zonas
GlobalNames permitem que clientes no domnio adatum.com e no domnio contoso.com usem
um nome de rtulo nico, como data, para localizar um servidor cujo FQDN data.contoso.com
sem ter que usar o FQDN.

Criao de uma zona GlobalNames


Para criar uma zona GlobalNames, voc deve:
1.

Usar a ferramenta dnscmd para habilitar o suporte a zonas GlobalNames.

2.

Criar uma nova zona de pesquisa direta chamada GlobalNames (sem diferenciao de maisculas
e minsculas). No permita atualizaes dinmicas para essa zona.

3.

Criar manualmente registros CNAME que apontam a registros que j existem nas outras zonas
das que so hospedadas em seus servidores DNS.

Por exemplo, voc poderia criar um registro CNAME na zona GlobalNames chamada Data que aponta
a Data.contoso.com. Isso permite que clientes de qualquer domnio DNS na organizao localizem
esse servidor pelo nome de rtulo nico Data.
Voc tambm pode usar os cmdlets do Windows PowerShell Get-DnsServerGlobalNameZone
e Set-DnsServerGlobalNameZone para configurar zonas GlobalNames.

1-18 Implementao de servios de rede avanados

Opes para implementar a segurana de DNS


Como o DNS um servio de rede crtico,
voc deve proteg-lo o mximo possvel.
Vrios opes esto disponveis para
proteger o servidor DNS, incluindo:

Bloqueio do cache DNS

Pool de soquetes DNS

DNSSEC

Bloqueio do cache DNS


Bloqueio de cache um recurso de segurana
do Windows Server 2012 que permite controlar
quando as informaes no cache de DNS podem ser substitudas. Quando um servidor DNS recursivo
responde a uma consulta, armazena em cache os resultados de forma que possa responder rapidamente
se receber outra consulta solicitando as mesmas informaes. O perodo que o servidor DNS mantm as
informaes no cache determinado pelo valor TTL (Vida til) de um registro de recurso. As informaes
no cache podero ser substitudas antes de o TTL expirar se informaes atualizadas sobre esse registro
de recurso forem recebidas. Se um usurio mal-intencionado substituir informaes com xito no cache,
o usurio mal-intencionado poder redirecionar o trfego de rede a um site mal-intencionado. Quando
voc habilita o bloqueio do cache, o servidor DNS probe que os registros em cache sejam substitudos
enquanto durar o valor TTL.
Voc configura o bloqueio de cache como um valor percentual. Por exemplo, se o valor de bloqueio
de cache for definido como 50, o servidor DNS no substituir uma entrada armazenada em cache
para metade da durao da TTL. Por padro, o valor percentual de bloqueio de cache 100. Isso
significa que as entradas em cache no sero substitudas durante toda a TTL.
Voc pode configurar o bloqueio de cache com a ferramenta dnscmd do seguinte modo:
1.

Inicie um prompt de comando com privilgios elevados.

2.

Execute o seguinte comando:


dnscmd /Config /CacheLockingPercent <porcentagem>

3.

Reinicie o servio de DNS para aplicar as alteraes.

Tambm possvel usar o cmdlet do Windows PowerShell Set-DnsServerCache LockingPercent


para definir esse valor. Por exemplo:
Set-DnsServerCache LockingPercent <valor>

Configurao de servios avanados do Windows Server 2012

1-19

Pool de soquetes DNS


O pool de soquetes DNS permite que um servidor DNS use a randomizao de porta de origem
ao emitir consultas de DNS. Quando o servio de DNS iniciado, o servidor escolhe uma porta de
origem de um pool de soquetes que esto disponveis para emitir consultas. Em vez de usar uma
porta de origem previsvel, o servidor DNS usa um nmero de porta aleatrio que seleciona no pool
de soquetes DNS. O pool de soquetes DNS dificulta os ataques por falsificao do cache, pois um
usurio mal-intencionado precisa adivinhar exatamente a porta de origem de uma consulta DNS
e uma ID de transao aleatria para executar um ataque com sucesso. O pool de soquetes DNS
habilitado por padro no Windows Server 2012.
O tamanho padro do pool de soquetes DNS 2.500. Quando voc configura o pool de soquetes DNS,
pode escolher um valor de tamanho de 0 a 10.000. Quanto maior o valor, maior a proteo que voc
ter contra ataques de falsificao de DNS. Se o servidor DNS estiver executando o Windows Server 2012,
voc tambm poder configurar uma lista de excluso do pool de soquetes DNS.
Voc pode configurar o tamanho do pool de soquetes DNS usando a ferramenta dnscmd
do seguinte modo:
1.

Inicie um prompt de comando com privilgios elevados.

2.

Execute o seguinte comando:


dnscmd /Config /SocketPoolSize <valor>

3.

Reinicie o servio de DNS para aplicar as alteraes

DNSSEC
O DNSSEC permite que uma zona DNS e todos os registros na zona sejam assinados com criptografia, de
modo que computadores cliente possam validar a resposta de DNS. O DNS submetido frequentemente
a vrios ataques, como modificao e falsificao de cache. O DNSSEC ajuda a proteger contra essas
ameaas e fornece uma infraestrutura de DNS mais segura.

Como funciona o DNSSEC


Interceptar e falsificar a resposta de consulta
de DNS de uma organizao um mtodo de
ataque comum. Se usurios mal-intencionados
puderem alterar respostas de servidores DNS,
ou enviar respostas falsificadas para apontar
para computadores cliente em seus prprios
servidores, eles podero ganhar acesso a
informaes confidenciais. Qualquer servio
que dependa de DNS para a conexo inicial,
como servidores Web de comrcio eletrnico
e servidores de email, vulnervel. O DNSSEC
protege os clientes que esto fazendo consultas
de DNS contra a aceitao de falsas respostas de DNS.
Quando um servidor DNS que est hospedando uma zona assinada digitalmente recebe uma consulta,
devolve as assinaturas digitais junto com os registros solicitados. Um resolvedor ou outro servidor pode
obter a chave pblica do par de chave pblica/privada de uma ncora confivel e confirmar que as
respostas so autnticas e no foram falsificadas. Para fazer isso, o resolvedor ou servidor deve ser
configurado com uma ncora confivel para a zona assinada ou para um pai da zona assinada.

1-20 Implementao de servios de rede avanados

ncoras confiveis
Uma ncora confivel uma entidade autorizada que representada por uma chave pblica. A zona
TrustAnchors armazena chaves pblicas pr-configuradas que so associadas a uma zona especfica.
No DNS, a ncora confivel o registro de recurso DNSKEY ou DS. Os computadores cliente usam
esses registros para compilar cadeias de confiana. Voc deve configurar uma ncora confivel da zona
em todo servidor DNS de domnio para validar respostas da zona assinada. Se o servidor DNS for um
controlador de domnio, as zonas integradas ao Active Directory podero distribuir as ncoras confiveis.

Tabela de Polticas de Resoluo de Nomes


A NRPT (Tabela de Polticas de Resoluo de Nomes) contm regras que controlam o comportamento
de cliente DNS enviando consultas de DNS e processando as respostas dessas consultas. Por exemplo,
uma regra de DNSSEC solicita ao computador cliente para verificar a validao da resposta para um
sufixo de domnio DNS especfico. Como prtica recomendada, Poltica de Grupo o mtodo preferido
de configurar a NRPT. Se no houver nenhuma NRPT presente, o computador cliente aceitar respostas
sem valid-las.

Implantao de DNSSEC
Para implantar DNSSEC:
1.

Instale o Windows Server 2012 e atribua a funo de DNS ao servidor. Normalmente, um controlador
de domnio tambm age como o servidor DNS. Porm, isso no um requisito.

2.

Assine a zona DNS usando o Assistente de Configurao de DNSSEC, que est localizado no console
de DNS.

3.

Configure pontos de distribuio de ncora confivel.

4.

Configure a NRPT nos computadores cliente.

Atribuio da funo Servidor DNS


Para atribuir a funo de servidor DNS, no painel do Gerenciador do Servidor, use o Assistente de
Adio de Funes e Recursos. Voc tambm pode adicionar essa funo ao adicionar a funo do AD DS.
Ento, configure as zonas primrias no servidor DNS. Depois que uma zona assinada, qualquer novo
servidor DNS no Windows Server 2012 recebe os parmetros de DNSSEC automaticamente.

Assinando a zona
As seguintes opes de assinatura esto disponveis:

Configure os parmetros de assinatura de zona. Essa opo o guia pelas etapas e permite definir
todos os valores para a KSK (chave de assinatura principal) e a ZSK (chave de assinatura de zona).

Assine a zona com parmetros de uma zona existente. Essa opo permite manter os mesmos
valores e opes da outra zona assinada.

Use as configuraes recomendadas. Essa opo assina a zona usando os valores padro.

Observao: As zonas tambm podem ter a assinatura cancelada usando a interface


do usurio de gerenciamento de DNSSEC para remover assinaturas de zona.

Configurao de servios avanados do Windows Server 2012

1-21

Configurao de pontos de distribuio de ncora confivel


Se a zona for integrada ao Active Directory, e se todos os controladores de domnio estiverem executando
o Windows Server 2012, voc poder optar por distribuir as ncoras confiveis a todos os servidores na
floresta. Faa essa seleo com cuidado porque o assistente ativa a validao de DNSSEC. Se voc habilitar
ncoras confiveis de DNS sem realizar testes completos, poder causar interrupes de DNS. Se forem
necessrias ncoras confiveis em computadores que no so de um domnio, por exemplo, um servidor
DNS na rede de permetro (tambm conhecido como sub-rede filtrada), ative a sobreposio automtica
de chaves.
Observao: Sobreposio automtica de chaves o ato de substituir um par de chaves
por outro ao trmino do perodo efetivo de uma chave.

Configurao de NRPT em computadores cliente


O computador cliente de DNS s a executa validao de DNSSEC em nomes de domnios onde a NRPT
configurou o computador cliente de DNS para fazer isso. Um computador cliente que est executando
o Windows 7 reconhece o DNSSEC, mas no executa a validao. Em vez disso, usa o servidor DNS
habilitado para segurana para executar a validao.

Novos recursos DNSSEC para Windows Server 2012


O Windows Server 2012 simplificou
a implementao de DNSSEC. Embora o DNSSEC
fosse permitido no Windows Server 2008 R2,
a maioria das tarefas de configurao e
administrao era executada manualmente e as
zonas eram assinadas quando estavam offline.

Assistente de Assinatura
de Zona DNSSEC
O Windows Server 2012 inclui um Assistente
de Assinatura de Zona DNSSEC para simplificar
o processo de configurao e assinatura e permitir
a assinatura online. O assistente permite escolher
os parmetros de assinatura de zona como indicado no tpico anterior. Se voc optar por definir as
configuraes de assinatura de zona em vez de usar parmetros de uma zona existente ou valores
padro, use o assistente para definir configuraes como:

Opes de KSK

Opes de ZSK

Opes de distribuio de ncora confivel

Parmetros de assinatura e sondagem

1-22 Implementao de servios de rede avanados

Novos registros de recursos


A validao de resposta de DNS obtida associando um par de chave privada/pblica (gerado pelo
administrador) a uma zona DNS e definindo registros de recurso DNS adicionais para assinar e publicar
chaves. Os registros de recurso distribuem a chave pblica enquanto a chave privada permanece no
servidor. Quando o cliente solicita a validao, o DNSSEC acrescenta dados resposta, permitindo
ao cliente autenticar a resposta.
A tabela a seguir descreve os novos registros de recursos no Windows Server 2012.
Registro de recurso

Objetivo

DNSKEY

Este registro publica a chave pblica para a zona. Verifica a autoridade


de uma resposta com relao chave privada mantida pelo servidor
DNS. Essas chaves precisam de substituio peridica por sobreposio de
chave. O Windows Server 2012 oferece suporte a sobreposies de chave
automatizadas. Toda zona tem vrios DNSKEYs que so divididos at ZSK
e KSK.

DS (Signatrio da
Delegao)

Esse registro um registro de delegao que contm o hash da chave


pblica de uma zona filho. Esse registro assinado pela chave privada
da zona pai. Se uma zona filho de um pai assinado tambm for assinada,
os registros DS do filho devero ser adicionados manualmente ao pai
de forma que uma cadeia de confiana possa ser criada.

RRSIG (Assinatura do
Registro de Recurso)

Esse registro contm uma assinatura para um conjunto de registros


de DNS. usado para verificar a autoridade de uma resposta.

NSEC (Next Secure)

Quando a resposta de DNS no tiver nenhum dado para fornecer


ao cliente, esse registro autenticar que o host no existe.

NSEC3

Esse registro uma verso com hash do registro de NSEC, o que impede
ataques de alfabeto enumerando a zona.

Outros aprimoramentos novos


Outros aprimoramentos para Windows Server 2012 incluem:

Suporte para atualizaes dinmicas de DNS em zonas assinadas de DNSSEC.

Distribuio automatizada de ncora confivel por AD DS.

Interface de linha de comando com base em Windows PowerShell para gerenciamento e script.

Configurao de servios avanados do Windows Server 2012

Demonstrao: Configurao de DNSSEC


Nesta demonstrao, voc ver como usar o Assistente de Assinatura de Zona no console de DNS
para configurar o DNSSEC.

Etapas da demonstrao
Configurar o DNSSEC
1.

Entre em LON-DC1 como Adatum\Administrador com uma senha Pa$$w0rd.

2.

Inicie o console de DNS.

3.

Use o Assistente de Assinatura de Zona DNSSEC para assinar a zona Adatum.com.

4.

Escolha personalizar parmetros de assinatura de zona.

5.

Verifique se o servidor DNS LON-DC1 o Mestre de Chave.

6.

Adicione a Chave KSK aceitando valores padro para a nova chave.

7.

Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.

8.

Escolha usar NSCE3 com valores padro.

9.

No escolha habilitar a distribuio de ncoras confiveis para essa zona.

10. Aceite os valores padro para assinar e sondar.


11. Verifique se os registros de recurso DNSKEY foram criados na zona Pontos Confiveis.
12. Use o GPMC (Console de Gerenciamento de Poltica de Grupo) para configurar NRPT. Crie uma
regra que habilite DNSSEC para o sufixo de Adatum.com e isso exige que computadores cliente
de DNS verifique se os dados de nome e endereo foram validados.

1-23

1-24 Implementao de servios de rede avanados

Lio 3

Implementao de IPAM
Com o desenvolvimento de IPv6 e mais dispositivos que precisam de endereos IP, as redes ficaram
complexas e difceis de gerenciar. Manter uma lista atualizada de endereos IP estticos que foram
emitidos frequentemente tem sido uma tarefa manual, que pode conduzir a erros. Para ajudar
as organizaes a gerenciar endereos IP, o Windows Server 2012 fornece a ferramenta IPAM.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever o IPAM.

Descrever a arquitetura do IPAM.

Descrever os requisitos das implementaes de IPAM.

Explicar como gerenciar o endereamento IP usando o IPAM.

Explicar como instalar e configurar o IPAM.

Explicar como gerenciar e monitorar o IPAM.

Descrever consideraes para implementar o IPAM.

O que IPAM?
O gerenciamento de endereos IP uma tarefa
difcil em redes grandes, pois o rastreamento do
uso de endereos IP , em grande parte, uma
operao manual. O Windows Server 2012
introduz o IPAM, que uma estrutura para
descobrir, auditar, monitorar a utilizao
e gerenciar o espao do endereo IP em
uma rede. O IPAM permite a administrao
e o monitoramento de DHCP e DNS e fornece
uma viso abrangente sobre onde so usados
os endereos IP. O IPAM coleta informaes
de controladores de domnio e NPSs (Servidores
de Poltica de Rede) e armazena essas informaes no Banco de Dados Interno do Windows.

Configurao de servios avanados do Windows Server 2012

1-25

O IPAM ajuda nas reas de administrao de IP como mostrado na tabela a seguir.


rea de administrao
de IP

Recursos de IPAM

Planejamento

Fornece um conjunto de ferramentas que pode reduzir o tempo e o custo


do processo de planejamento quando as alteraes ocorrem na rede.

Gerenciamento

Fornece um nico ponto de gerenciamento e ajuda a otimizar a utilizao


e a capacidade de planejamento de DHCP e DNS.

Acompanhamento

Habilita o acompanhamento e a previso da utilizao de endereo IP.

Auditoria

Ajuda com requisitos de conformidade, como HIPAA (Health Insurance


Portability and Accountability Act) e a Lei Sarbanes-Oxley de 2002
e fornece relatrios para gerenciamento de alteraes e forense.

Caractersticas do IPAM
As caractersticas do IPAM incluem:

Um nico servidor IPAM pode suportar at 150 servidores DHCP e 500 servidores DNS.

Um nico servidor IPAM pode suportar at 6.000 escopos DHCP e 150 zonas DNS.

O IPAM armazena trs anos de dados forenses (concesses de endereo IP, endereos MAC
(controle de acesso mdia) de host, informaes de logon e logoff de usurio) para 100.000
usurios em um Banco de Dados Interno do Windows. Nenhuma poltica de depurao de banco
de dados fornecida e o administrador deve depurar os dados manualmente conforme necessrio.

O IPAM s suporta o Banco de Dados Interno do Windows. Nenhum banco de dados externo
permitido.

Tendncias de utilizao de endereo IP so fornecidas somente para IPv4.

O suporte de recuperao de endereo IP fornecido somente para IPv4.

O IPAM no verifica a consistncia de endereo IP com roteadores e comutadores.

Benefcios do IPAM
Os benefcios do IPAM incluem:

Alocao e planejamento de espao de endereo IPv4 e IPv6.

Estatsticas e monitoramento de tendncia de utilizao de espao de endereo IP.

Gerenciamento do inventrio IP esttico, gerenciamento de vida til e criao e excluso


de registros DHCP e DNS.

Servio e monitoramento de zona de servios de DNS.

Concesso de endereo IP e acompanhamento de eventos de logon.

RBAC (Controle de acesso baseado na funo).

Suporte de administrao remota por RSAT.

Observao: O IPAM no suporta gerenciamento e configurao de elementos


de rede no Microsoft.

1-26 Implementao de servios de rede avanados

Arquitetura IPAM
A arquitetura do IPAM consiste em
quatro mdulos principais, como listado
na tabela a seguir.

Mdulo

Descrio

Descoberta de IPAM

Voc usa o AD DS para descobrir servidores que esto executando o


Windows Server 2008 e sistemas operacionais Windows Server mais
recentes e que tm DNS, DHCP ou AD DS instalado. Voc pode definir
o escopo de descoberta como um subconjunto de domnios na floresta.
Voc tambm pode adicionar servidores manualmente.

Gerenciamento de
espao de endereo IP

Voc pode usar este mdulo para exibir, monitorar e gerenciar o espao
de endereo IP. Voc pode emitir dinamicamente ou atribuir endereos
estaticamente. Voc tambm pode acompanhar a utilizao de endereos
e detectar a sobreposio de escopos DHCP.

Gerenciamento
e monitoramento
multisservidor

Voc pode gerenciar e monitorar vrios servidores DHCP. Isso permite


executar tarefas em vrios servidores. Por exemplo, voc pode configurar
e editar propriedades e escopos DHCP e acompanhar o status de DHCP
e a utilizao de escopo. Voc tambm pode monitorar vrios servidores
DNS e monitorar a integridade e o status de zonas DNS em vrios
servidores DNS autorizados.

Auditoria operacional
e acompanhamento
de endereo IP

Voc pode usar as ferramentas de auditoria para acompanhar problemas


de configurao potenciais. Voc tambm pode coletar, gerenciar e exibir
detalhes de alteraes de configurao de servidores DHCP gerenciados.
Voc tambm pode coletar acompanhamento de concesso de endereo
de logs de concesso de DHCP e coletar informaes de evento de logon
de NPS e controladores de domnio.

O servidor IPAM pode gerenciar s uma floresta do Active Directory. Assim, voc pode implantar o IPAM
em uma de trs topologias:

Distribuda. Voc implanta um servidor IPAM para cada site na floresta.

Centralizada. Voc implanta s um servidor IPAM na floresta.

Hbrida. Voc implanta um servidor IPAM central junto com um servidor IPAM dedicado em cada site.

Observao: Os servidores IPAM no se comunicam um com o outro nem compartilham


informaes do banco de dados. Se voc implantar vrios servidores IPAM, dever personalizar
o escopo de descoberta de cada servidor.

Configurao de servios avanados do Windows Server 2012

1-27

O IPAM tem dois componentes principais:

Servidor IPAM. O servidor IPAM executa a coleta de dados dos servidores gerenciados.
Tambm gerencia o Banco de Dados Interno do Windows e fornece RBAC.

Cliente IPAM. O cliente IPAM fornece a interface do usurio de computador cliente. Tambm interage
com o servidor IPAM e invoca o Windows PowerShell para executar tarefas de configurao de DHCP,
monitoramento de DNS e gerenciamento remoto.

Requisitos para implementao do IPAM


Para assegurar uma implementao
do IPAM bem-sucedida, voc deve satisfazer
vrios pr-requisitos:

O servidor IPAM deve ser um membro


de domnio, mas no pode ser um
controlador de domnio.

O servidor IPAM deve ser um servidor


de finalidade nica. No instale outras
funes de rede como DHCP ou DNS
no mesmo servidor.

Para gerenciar o espao de endereo IPv6,


voc deve ter IPv6 habilitado no servidor IPAM.

Entre no servidor IPAM com uma conta de domnio, e no uma conta local.

Voc deve ser um membro do grupo de segurana local IPAM correto no servidor IPAM.

Habilite o registro de eventos de logon de conta em controlador de domnio e servidores NPS


para o recurso de acompanhamento e auditoria de endereo IP do IPAM.

Requisitos de hardware e software de IPAM


Os requisitos de hardware e software de IPAM so os seguintes:

Processador dual core de 2.0 GHz (gigahertz) ou mais

Sistema operacional Windows Server 2012

4 GB (gigabytes) ou mais de RAM (memria de acesso aleatrio)

80 GB de espao livre no disco rgido

Alm dos requisitos previamente mencionados, o Windows Server 2008 e o Windows Server 2008 R2
precisam do seguinte:

O Service Pack 2 (SP2) deve ser instalado no Windows Server 2008.

A instalao completa do Microsoft .NET Framework 4.0 deve ser instalada.

O Windows Management Framework 3.0 Beta deve ser instalado (KB2506146).

Para Windows Server 2008 SP2, o Windows Management Framework Core (KB968930) tambm
necessrio.

O Windows Remote Management deve ser habilitado.

Verifique se os SPNs (nomes de entidade de servio) esto escritos.

1-28 Implementao de servios de rede avanados

Gerenciamento do endereamento IP usando o IPAM


O gerenciamento de espao de endereo IP
permite aos administradores gerenciar,
acompanhar, auditar e relatar espaos de
endereo IPv4 e IPv6 de uma organizao.
O console de espao de endereo IP do IPAM
proporciona aos administradores estatsticas de
utilizao de endereo IP e dados de tendncia
histricos para que eles possam tomar decises
de planejamento conscientes para espaos
de endereo dinmico, esttico e virtual.
As tarefas peridicas do IPAM descobrem o
espao de endereo e os dados de utilizao
automaticamente, conforme configurado nos servidores DHCP que so gerenciados no IPAM. Voc
tambm pode importar informaes de endereo IP em arquivos .csv (valores separados por vrgula).
O IPAM tambm permite aos administradores detectar intervalos de endereo IP sobrepostos que
so definidos em servidores DHCP diferentes, localizar endereos IP livres dentro de um intervalo,
criar reservas de DHCP e criar registros de DNS.
O IPAM fornece vrios modos de filtrar a exibio do espao de endereo IP. Voc pode personalizar
como exibe e gerencia o espao de endereo IP usando uma das seguintes exibies:

Blocos de endereo IP

Intervalos de endereo IP

Endereos IP

Inventrio de endereos IP

Grupos de intervalo de endereo IP

Blocos de endereo IP
Os blocos de endereo IP so as entidades de mais alto nvel dentro de uma organizao de espao
de endereo IP. Conceitualmente, um bloco de IP uma sub-rede de IP marcada por um endereo
IP inicial e final e atribudo normalmente a uma organizao atravs de vrios RIRs (Registros de
Internet Regionais). Os administradores de rede usam blocos de endereo para criar e alocar intervalos
de endereo IP a DHCP. Eles podem adicionar, importar, editar e excluir blocos de endereo IP. O IPAM
mapeia intervalos de endereo IP automaticamente para o bloco de endereo IP apropriado baseado
nos limites do intervalo. Voc pode adicionar e importar blocos de endereo IP no console do IPAM.

Intervalos de endereo IP
Os intervalos de endereo IP so o prximo nvel hierrquico de entidades de espao de endereo IP
depois dos blocos de endereo IP. Conceitualmente, um intervalo de endereos IP uma sub-rede
de IP marcada por um endereo IP inicial e final e corresponde normalmente a um escopo DHCP, a
um intervalo de endereos IPv4 ou IPv6 estticos ou a um pool de endereos que usado para atribuir
endereos a hosts. Um intervalo de endereos IP identificvel exclusivamente pelo valor das opes
obrigatrias Gerenciado por Servio e Instncia de Servio, que ajudam o IPAM a gerenciar e manter
intervalos de endereo IP sobrepostos ou duplicados no mesmo console. Voc pode adicionar ou
importar intervalos de endereo IP no console do IPAM.

Configurao de servios avanados do Windows Server 2012

1-29

Endereos IP
Endereos IP so os endereos que compem o intervalo de endereos IP. O IPAM permite
o gerenciamento de ciclo de vida completo de endereos IPv4 e IPv6, inclusive sincronizao de
registro com servidores DHCP e DNS. O IPAM mapeia um endereo automaticamente para o intervalo
apropriado baseado no endereo inicial e final do intervalo. Um intervalo de endereos IP identificvel
exclusivamente pelo valor das opes obrigatrias Gerenciado por Servio e Instncia de Servio que
ajudam o IPAM a gerenciar e manter endereos IP duplicados no mesmo console. Voc pode adicionar
ou importar endereos IP no console do IPAM.

Inventrio de endereos IP
Na exibio do inventrio de endereos IP, voc pode exibir uma lista de todos os endereos IP
na empresa junto com o nome e o tipo do dispositivo. O inventrio de endereos IP um grupo
lgico definido pela opo Tipo de Dispositivo na exibio de endereos IP. Esses grupos permitem
personalizar o modo como seu espao de endereo exibido para gerenciar e acompanhar o uso de IP.
Voc pode adicionar ou importar endereos IP no console do IPAM. Por exemplo, voc pode adicionar
os endereos IP para impressoras ou roteadores, atribuir o endereo IP ao tipo de dispositivo apropriado
de impressora ou roteador e exibir seu inventrio de IP filtrado pelo tipo de dispositivo atribudo.

Grupos de intervalo de endereo IP


O IPAM permite organizar intervalos de endereo IP em grupos lgicos. Por exemplo, voc pode
organizar intervalos de endereo IP geograficamente ou por diviso comercial. Grupos lgicos so
definidos selecionando os critrios de agrupamento em campos personalizados internos ou definidos
pelo usurio.

Gerenciando e monitorando
O IPAM permite o monitoramento de servio automatizado e peridico de servidores DHCP e DNS
em uma floresta. O monitoramento e o gerenciamento so organizados nas exibies listadas na
tabela a seguir.
Exibio

Descrio

Servidores DNS
e DHCP

Por padro, os servidores DHCP e DNS gerenciados so organizados pela


interface de rede em /16 sub-redes para IPv4 e /48 sub-redes para IPv6.
Voc pode selecionar a exibio para ver apenas propriedades de escopo
DHCP, apenas propriedades de servidor DNS ou ambas.

Escopos DHCP

A exibio de escopo DHCP permite o monitoramento de utilizao de escopo.


So coletadas estatsticas de utilizao periodicamente e automaticamente em
um servidor DHCP gerenciado. Voc pode acompanhar propriedades de escopo
importantes como Nome, ID, Comprimento do Prefixoe Status.

Monitoramento
da zona DNS

O monitoramento de zona permitindo para zonas de pesquisa direta e inversa.


O status da zona baseado em eventos coletados pelo IPAM. O status de cada
zona resumido.

Grupos de
servidores

Voc pode organizar seus servidores DHCP e DNS gerenciados em grupos


lgicos. Por exemplo, voc pode organizar servidores por unidade de negcios
ou geografia. Grupos so definidos selecionando os critrios de agrupamento
em campos internos ou definidos pelo usurio.

1-30 Implementao de servios de rede avanados

Demonstrao: Instalao e configurao do IPAM


Nesta demonstrao, voc aprender a instalar e configurar o gerenciamento de IPAM.

Etapas da demonstrao
Instalar o IPAM
1.

Entre em LON-SVR2 como Adatum\Administrador com uma senha Pa$$w0rd.

2.

No Gerenciador do Servidor, adicione o recurso IPAM e todos os recursos de suporte exigidos.

Configurar o IPAM
1.

No painel Viso Geral de IPAM, provisione o servidor IPAM usando a Poltica de Grupo.

2.

Insira IPAM como o prefixo do nome de GPO (Objeto de Poltica de Grupo) e provisione o IPAM.
O provisionamento levar alguns minutos para terminar.

3.

No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.

4.

No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indica quando a descoberta concluda.

5.

No painel Viso Geral de IPAM, adicione os servidores a serem gerenciados.

6.

Verifique se o acesso do IPAM est bloqueado atualmente.

7.

Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
usando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador

8.

Defina o status de gerenciamento como Gerenciado.

9.

Alterne para LON-DC1.

10. Force a atualizao de Poltica de Grupo.


11. Volte a LON-SVR2 e atualize a exibio de IPv4. A descoberta pode levar de 5 a 10 minutos para
ser executada.
12. No painel Viso Geral de IPAM, recupere dados do servidor gerenciado.

Configurao de servios avanados do Windows Server 2012

1-31

Gerenciamento e monitoramento de IPAM


O recurso de gerenciamento de espao de
endereo do IPAM permite exibir, monitorar e
gerenciar com eficincia o espao de endereo IP
na rede. O gerenciamento de espao de endereo
suporta endereos IPv4 pblicos e privados e
endereos IPv6 global e de unicast. Usando a
exibio de servidor DNS e DHCP, voc pode
exibir e monitorar a integridade e a configurao
de todos os servidores DNS e DHCP que esto
sendo gerenciados por IPAM. O IPAM usa tarefas
agendadas para coletar dados periodicamente
de servidores gerenciados. Voc tambm pode
recuperar dados sob demanda usando a opo Recuperar Todos os Dados do Servidor.

Monitoramento de utilizao
Os dados de utilizao so mantidos para intervalos de endereo IP, blocos de endereo IP e grupos
de intervalo de IP no IPAM. Voc pode configurar limites para o percentual do espao de endereo IP
que utilizado e usar esses limites para determinar subutilizao e superutilizao.
Voc pode executar a criao e os relatrios de tendncia de utilizao para intervalos de endereo
IPv4, blocos e grupos de intervalo. A janela de tendncia de utilizao permite exibir tendncias com
o passar de perodos como dirio, semanal, mensal ou anualmente, ou voc pode exibir tendncias
sobre intervalos de datas personalizados. Os dados de utilizao de escopos DHCP gerenciados so
descobertos automaticamente e voc pode exibir esses dados.

Monitoramento de DHCP e DNS


Usando o IPAM, voc pode monitorar servidores DHCP e DNS de qualquer local fsico da empresa.
Um dos benefcios primrios do IPAM sua capacidade de gerenciar simultaneamente vrios
servidores DHCP ou escopos DHCP que so distribudos em um ou mais servidores DHCP.
O IPAM que monitora a exibio permite exibir o status e a integridade de conjuntos selecionados de
servidores Microsoft DNS e DHCP de um nico console. A exibio de monitoramento do IPAM exibe
a integridade bsica de servidores e eventos de configurao recentes que ocorreram nesses servidores.
A exibio de monitoramento tambm permite organizar os servidores gerenciados em grupos
de servidores lgicos.
Para servidores DHCP, a exibio de servidor permite acompanhar vrias configuraes de servidor,
opes de servidor, o nmero de escopos e o nmero de concesses ativas que esto configuradas no
servidor. Para servidores DNS, essa exibio permite acompanhar todas as zonas que so configuradas
no servidor, junto com detalhes do tipo de zona. A exibio tambm permite ver o nmero total de
zonas que so configuradas no servidor e o status de integridade de zona global derivado do status
de zonas individuais no servidor.

1-32 Implementao de servios de rede avanados

Gerenciamento do Servidor DHCP


No console do IPAM, voc pode gerenciar servidores DHCP e executar as seguintes aes:

Editar as propriedades do servidor DHCP.

Editar as opes do servidor DHCP.

Criar escopos DHCP.

Configurar opes e valores predefinidos.

Configurar a classe de usurio em vrios servidores simultaneamente.

Criar e editar classes de usurio novas e existentes em vrios servidores simultaneamente.

Configurar a classe de fornecedor em vrios servidores simultaneamente.

Iniciar o console de gerenciamento para um servidor DHCP selecionado.

Recuperar dados de servidor de vrios servidores.

Gerenciamento do Servidor DNS


Voc pode iniciar o console de gerenciamento de DNS para qualquer servidor DNS gerenciado, de
um console central no servidor IPAM. Quando voc inicia o console de gerenciamento de DNS, pode
recuperar dados de servidor do conjunto selecionado de servidores. A exibio Monitoramento de Zona
de DNS exibe todas as zonas de pesquisa direta e inversa em todos os servidores DNS que o IPAM est
gerenciando atualmente. Para as zonas de pesquisa direta, o IPAM tambm exibe todos os servidores que
esto hospedando a zona e a integridade agregada da zona em todos esses servidores e as propriedades
da zona.

O catlogo de eventos
O catlogo de eventos do IPAM fornece um repositrio centralizado para auditar todas as alteraes
de configurao que so executadas em servidores DHCP que so gerenciados de um nico console
de gerenciamento de IPAM. O console de eventos de configurao de IPAM coleta todos os eventos
de configurao. Esse catlogo de eventos de configurao permite exibir, consultar e gerar relatrios
das alteraes de configurao consolidadas, junto com detalhes especficos de cada registro.

Consideraes para implementao do IPAM


IPAM uma tecnologia sem agente que
usa protocolos WinRM (Windows Remote
Management) para gerenciar, monitorar e coletar
dados de servidores distribudos no ambiente.
Desse modo, voc deve estar atento a algumas
consideraes de implementao.

Configurao de servios avanados do Windows Server 2012

1-33

Consideraes sobre a instalao


Embora a instalao do IPAM seja relativamente simples, h certas consideraes que voc deve levar
em conta:

O IPAM no deve ser instalado em um controlador de domnio, servidor DHCP ou servidor DNS.

O assistente de instalao no Gerenciador do Servidor instala automaticamente os recursos


necessrios para suportar o IPAM. No h etapas adicionais necessrias do administrador.

O cliente do IPAM instalado automaticamente no Windows Server 2012 junto com o servidor IPAM,
mas voc pode desinstalar o cliente separadamente.

Voc pode desinstalar o IPAM usando o Gerenciador do Servidor. Sero excludos todos os grupos de
segurana locais, dependncias e tarefas agendadas. O banco de dados do IPAM ser desvinculado
do Banco de Dados Interno do Windows.

Consideraes funcionais
Considere as seguintes especificaes funcionais do IPAM:

O IPAM no suporta vrias topologias de floresta.

O IPAM s pode usar o Banco de Dados Interno do Windows; no pode usar nenhum outro tipo
de banco de dados.

O servidor IPAM deve coletar informaes de concesso de DHCP para permitir o acompanhamento
de endereo. Verifique se o tamanho do arquivo de log de auditoria de DHCP est configurado
de forma que seja grande o suficiente para conter eventos de auditoria durante o dia inteiro.

Para controladores de domnio e servidores de poltica de rede, habilite os eventos necessrios


para registrar em log. Para fazer isso, voc poder usar as configuraes de segurana da poltica
de grupo.

Consideraes administrativas
Os administradores de domnio e empresa possuem acesso total administrao do IPAM. Voc pode
delegar obrigaes administrativas a outros usurios ou grupos usando os grupos de segurana do IPAM.
O processo de instalao cria grupos de segurana locais (que no tm nenhum membro por padro)
no servidor IPAM. Os grupos de segurana locais fornecem as permisses que so necessria para
administrar e usar os vrios servios empregados pelo IPAM.
A instalao do IPAM cria automaticamente os grupos de usurio locais listados na tabela a seguir.
Grupo

Descrio

Usurios do IPAM

Os membros deste grupo podem exibir todas as informaes no


inventrio do servidor IPAM, no espao de endereo IP e nos consoles
de gerenciamento do servidor IPAM. Eles podem exibir eventos
operacionais dos servidores IPAM e DHCP, mas no podem exibir
informaes de rastreamento de endereo IP.

Administradores
IPAM MSM

Os membros deste grupo tm todos os privilgios do grupo Usurios


do IPAM e podem executar tarefas de monitoramento e gerenciamento
do IPAM.

1-34 Implementao de servios de rede avanados

(continuao)
Grupo

Descrio

Administradores
IPAM ASM

Os membros deste grupo tm todos os privilgios do grupo Usurios


do IPAM e podem executar tarefas de espao de endereo IP do IPAM.

Administradores de
auditoria IPAM IP

Os membros deste grupo tm todos os privilgios do grupo Usurios


do IPAM e podem exibir informaes de rastreamento de endereo IP.

Administradores
do IPAM

Os membros deste grupo podem exibir todas as informaes do IPAM


e executar todas as tarefas do IPAM.

Migrando os dados de IP existentes para o IPAM


Muitas organizaes usam as planilhas do Microsoft Office Excel para documentar a alocao de espao
de endereo IP para endereos estticos e dispositivos de rede. Como voc deve atualizar essas planilhas
manualmente, elas so propensas a erro. Voc pode migrar os dados existentes dessas planilhas no IPAM
convertendo as planilhas em arquivos .csv e importando as informaes no IPAM.

Configurao de servios avanados do Windows Server 2012

1-35

Laboratrio: Implementao de servios


de rede avanados
Cenrio
A A. Datum Corporation cresceu rapidamente durante os ltimos anos. A empresa implantou vrias novas
filiais e aumentou o nmero de usurios significativamente na organizao. Adicionalmente, expandiu
o nmero de organizaes parceiras e clientes que esto acessando sites e aplicativos da A. Datum.
Por causa dessa expanso, a complexidade da infraestrutura de rede aumentou e a organizao agora
precisa ficar muito mais atenta segurana no nvel de rede.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar alguns
dos recursos de sistema de rede avanados do Windows Server 2012 para gerenciar a infraestrutura
de sistema de rede. Voc precisa implementar novos recursos no DHCP e DNS, com a meta primria
de fornecer nveis mais altos de disponibilidade, aumentando a segurana desses servios. Voc tambm
precisa implementar o IPAM para simplificar e centralizar o gerenciamento do uso e da configurao
de endereo IP em uma rede complexa crescente.

Objetivos

Definir configuraes DHCP avanadas.

Definir configuraes de DNS avanadas.

Configurar o gerenciamento de endereo IP.

Configurao do laboratrio
Tempo previsto: 70 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CL1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

Repita as etapas de 2 a 4 para 24412B-LON-SVR1 e 24412B-LON-SVR2. No inicie


24412B-LON-CL1 at receber instrues.

1-36 Implementao de servios de rede avanados

Exerccio 1: Definio de configuraes avanadas de DHCP


Cenrio
Com a expanso da rede e o aumento dos requisitos de disponibilidade e segurana na A. Datum
Corporation, voc precisa implementar alguns recursos adicionais de DHCP. Por causa da recente
expanso comercial, o escopo DHCP da matriz utilizado quase completamente, o que significa
que voc precisa configurar um superescopo. Alm disso, voc precisa configurar Proteo de
Nome DHCP e Failover de DHCP.
As principais tarefas deste exerccio so:
1.

Configurar um superescopo.

2.

Configurar a proteo de nome DHCP.

3.

Configurar e verificar o failover de DHCP.

Tarefa 1: Configurar um superescopo


1.

2.

Em LON-DC1, configure um escopo chamado Scope1, com um intervalo de 192.168.0.50.


a 192.168.0.100, e com as seguintes configuraes:
o

Mscara de sub-rede: 255.255.255.0

Roteador: 192.168.0.1

Sufixo DNS: Adatum.com

Escolha ativar o escopo posteriormente

Configure um segundo escopo chamado Scope2, com um intervalo de 192.168.1.50.


a 192.168.1.100, e com as seguintes configuraes:
o

Mscara de sub-rede: 255.255.255.0

Roteador: 192.168.1.1

Sufixo DNS: Adatum.com

Escolha ativar o escopo posteriormente

3.

Crie um superescopo chamado AdatumSuper que tem Scope1 e Scope2 como membros.

4.

Ative o superescopo AdatumSuper.

Tarefa 2: Configurar a proteo de nome DHCP

Alterne para o console DHCP em LON-DC1 e habilite Proteo de Nome DHCP para o n IPv4.

Tarefa 3: Configurar e verificar o failover de DHCP


1.

Em LON-SVR1, inicie o console DHCP e observe o estado atual de DHCP. Observe que o servidor
autorizado, mas que nenhum escopo configurado.

2.

Em LON-DC1, no console DHCP, inicie o Assistente de Configurao de Failover.

Configurao de servios avanados do Windows Server 2012

3.

1-37

Configure uma replicao de failover com as seguintes definies:


o

Servidor de parceiro: 172.16.0.21

Nome da relao: Adatum

Prazo de Entrega Mximo do Cliente: 15 minutos

Modo: Balancear carga

Percentual de balanceamento de carga: 50%

Intervalo de alternncia de estado: 60 minutos

Segredo compartilhado de autenticao de mensagem: Pa$$w0rd

4.

Conclua o Assistente de Configurao de Failover.

5.

Em LON-SVR1, atualize o n IPv4. Note que o n IPv4 est ativo, e que o Escopo Adatum
est configurado.

6.

Inicie 24412B-LON-CL1 e entre como Adatum\Administrador.

7.

Configure LON-CL1 para obter um endereo IP do servidor DHCP.

8.

Abra uma janela de prompt de comando e registre o endereo IP.

9.

Alterne para LON-DC1 e pare o servio do servidor DHCP.

10. Volte a LON-CL1 e renove o endereo IP.


11. Desligue o servidor LON-SVR1.
12. Em LON-DC1, no console Servios, inicie o servio do servidor DHCP.
13. Feche o console Servios.

Resultados: Depois de concluir este exerccio, voc ter configurado um superescopo, Proteo
de Nome DHCP, e configurado e verificado failover de DHCP.

Exerccio 2: Definio das configuraes avanadas de DNS


Cenrio
Para aumentar o nvel de segurana para as zonas DNS na A. Datum, voc precisa definir configuraes
de segurana de DNS como DNSSEC, pool de soquetes de DNS e bloqueio de cache. A A. Datum tem
uma relao comercial com a Contoso, SA, e hospedar a zona DNS da Contoso.com. Os clientes
da A. Datum usam um aplicativo que acessa um servidor chamado App1 na zona da Contoso.com
usando seu nome NetBIOS. Voc precisa assegurar que esses aplicativos possam resolver os nomes
dos servidores necessrios corretamente. Voc empregar uma zona GlobalNames para fazer isso.
As principais tarefas deste exerccio so:
1.

Configurar o DNSSEC.

2.

Configurar o pool de soquetes de DNS.

3.

Configurar o bloqueio do cache DNS.

4.

Configurar uma zona GlobalNames.

1-38 Implementao de servios de rede avanados

Tarefa 1: Configurar o DNSSEC


1.

Em LON-DC1, inicie o Gerenciador de DNS.

2.

Use o Assistente de Assinatura de Zona DNSSEC para assinar a zona Adatum.com.

3.

Escolha personalizar parmetros de assinatura de zona.

4.

Verifique se o servidor DNS LON-DC1 o Mestre de Chave.

5.

Adicione a Chave KSK aceitando valores padro para a nova chave.

6.

Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.

7.

Escolha usar NSCE3 com os valores padro.

8.

No escolha habilitar a distribuio de ncoras confiveis para essa zona.

9.

Aceite os valores padro para assinar e sondar.

10. Verifique se os registros de recurso DNSKEY foram criados na zona Pontos Confiveis.
11. Minimize o console do DNS.
12. Use o Console de Gerenciamento de Poltica de Grupo, no objeto Poltica de Domnio Padro,
para configurar a Tabela Polticas de Resoluo de Nome.
13. Crie uma regra que habilite DNSSEC para o sufixo de Adatum.com e isso exige que clientes
de DNS verifiquem se os dados de nome e endereo foram validados.

Tarefa 2: Configurar o pool de soquetes de DNS


1.

Em LON-DC1, inicie o Windows PowerShell.

2.

Execute o seguinte comando para exibir o tamanho atual do pool de soquetes:


Get-DNSServer

3.

Execute o seguinte comando para alterar o tamanho do pool de soquetes para 3.000:
dnscmd /config /socketpoolsize 3000

4.

Reinicie o servio DNS.

5.

Execute o seguinte comando para confirmar o novo tamanho do pool de soquetes:


Get-DnsServer

Tarefa 3: Configurar o bloqueio do cache DNS


1.

Execute o seguinte comando para exibir o tamanho atual do bloqueio de cache:


Get-DnsServer

2.

Execute o seguinte comando para alterar o valor de bloqueio de cache para 75%:
Set-DnsServerCache LockingPercent 75

3.

Reinicie o servio DNS.

4.

Execute o seguinte comando para confirmar o novo valor de bloqueio de cache:


Get-DnsServer

Configurao de servios avanados do Windows Server 2012

1-39

Tarefa 4: Configurar uma zona GlobalNames


1.

Crie uma zona de pesquisa direta integrada ao Active Directory chamada Contoso.com, executando
o seguinte comando:
Add-DnsServerPrimaryZone Name Contoso.com ReplicationScope Forest

2.

Execute o seguinte comando para habilitar o suporte a zonas GlobalName:


Set-DnsServerGlobalNameZone AlwaysQueryServer $true

3.

Crie uma zona de pesquisa direta integrada ao Active Directory chamada GlobalNames executando
o seguinte comando:
Add-DnsServerPrimaryZone Name GlobalNames ReplicationScope Forest

4.

Abra o console do Gerenciador de DNS e adicione um novo registro do host ao domnio


Contoso.com chamado App1 com o endereo IP 192.168.1.200.

5.

Na zona GlobalNames, crie um novo alias chamado App1 usando o FQDN de App1.Contoso.com.

6.

Feche o Gerenciador de DNS e feche o prompt de comando.

Resultados: Depois de concluir este exerccio, voc ter configurado DNSSEC, o pool de soquetes
de DNS, o bloqueio de cache de DNS e a zona GlobalName.

Exerccio 3: Configurao de IPAM


Cenrio
A A. Datum Corporation est avaliando solues para simplificar o gerenciamento de endereo IP.
Desde a implementao do Windows Server 2012, voc decidiu implementar o IPAM.
As principais tarefas deste exerccio so:
1.

Instalar o recurso IPAM.

2.

Configurar GPOs relacionados ao IPAM.

3.

Configurar descoberta de servidor de gerenciamento de IP.

4.

Configurar servidores gerenciados.

5.

Configurar e verificar um novo escopo DHCP com IPAM.

6.

Configurar blocos de endereo IP, registrar endereos IP e criar reservas de DHCP e registros de DNS.

Tarefa 1: Instalar o recurso IPAM

Em LON-SVR2, instale o recurso Servidor de Gerenciamento de Endereos IP (IPAM) usando


o Assistente de Adio de Funes e Recursos em Gerenciador do Servidor.

Tarefa 2: Configurar GPOs relacionados ao IPAM


1.

Em LON-SVR2, em Gerenciador do Servidor, no painel Viso Geral do IPAM, provisione o servidor


IPAM usando a Poltica de Grupo.

2.

Insira IPAM como o prefixo de nome de GPO e provisione o IPAM usando o Assistente de Proviso
de IPAM.

1-40 Implementao de servios de rede avanados

Tarefa 3: Configurar descoberta de servidor de gerenciamento de IP


1.

No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.

2.

No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indicar quando a descoberta for concluda.

Tarefa 4: Configurar servidores gerenciados


1.

No painel Viso Geral de IPAM, adicione os servidores que voc precisa gerenciar. Verifique
se o acesso do IPAM est bloqueado atualmente.

2.

Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
executando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador

3.

Defina o status de gerenciamento como Gerenciado.

4.

Alterne para LON-DC1 e force a atualizao da Poltica de Grupo usando gpupdate /force.

5.

Volte a LON-SVR2 e atualize o status de acesso do servidor para LON-DC1 e a exibio do console
do Gerenciador do Servidor. Pode levar at 10 minutos para o status mudar. Se necessrio, repita
ambas as tarefas de atualizao conforme necessrio at que uma marca de seleo verde seja
exibida prximo a LON-DC1 e o Status de Acesso do IPAM seja exibido como Desbloqueado.

6.

No painel Viso Geral de IPAM, clique em Recuperar dados de servidores gerenciados.

Tarefa 5: Configurar e verificar um novo escopo DHCP com IPAM


1.

2.

Em LON-SVR2, use o IPAM para criar um novo escopo DHCP com os seguintes parmetros:
o

Endereo inicial do escopo: 10.0.0.50

Endereo final do escopo: 10.0.0.100

Mscara de sub-rede: 255.0.0.0

Gateway padro: 10.0.0.1

Em LON-DC1, verifique o escopo na DHCP MMC.

Tarefa 6: Configurar blocos de endereo IP, registrar endereos IP e criar reservas


de DHCP e registros de DNS
1.

2.

Em LON-SVR2, adicione um bloco de endereo IP no console do IPAM com os seguintes parmetros:


o

ID de rede: 172.16.0.0

Comprimento do prefixo: 16

Descrio: Sede

Adicione endereos IP para o roteador de rede acrescentando ao Inventrio de Endereos IP


com os seguintes parmetros:
o

Endereo IP: 172.16.0.1

Endereo MAC: 112233445566

Tipo de dispositivo: Roteadores

Descrio: Roteador da sede

Configurao de servios avanados do Windows Server 2012

3.

4.

1-41

Use o console do IPAM para criar uma reserva de DHCP do seguinte modo:
o

Endereo IP: 172.16.0.10

Endereo MAC: 223344556677

Tipo de dispositivo: Host

Nome do servidor de reserva: LON-DC1.Adatum.com

Nome da reserva: Webserver

Tipo de reserva: Ambos

Use o console do IPAM para criar o registro de host DNS do seguinte modo:
o

Nome do dispositivo: Webserver

Zona de pesquisa direta: Adatum.com

Servidor primrio de pesquisa direta: LON-DC1.adatum.com

5.

Clique com o boto direito do mouse na entrada de IPv4 e crie a reserva de DHCP e o registro
de host DNS.

6.

Em LON-DC1, abra o console DHCP e confirme se a reserva foi criada no escopo 172.16.0.0.

7.

Em LON-DC1, abra o console do Gerenciador DNS e confirme se o registro de host DNS foi criado.

Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o IPAM com GPOs
relacionados ao IPAM, descoberta de servidor de gerenciamento de IP, servidores gerenciados, um
novo escopo DHCP, blocos de endereo IP, endereos IP, reservas de DHCP e registros de DNS.

Para se preparar para o prximo mdulo


1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-SVR2 e 24412B-LON-CL1.

1-42 Implementao de servios de rede avanados

Reviso e informaes complementares do mdulo


Prtica recomendada:

Implemente o failover de DHCP para garantir que os computadores cliente possam continuar
recebendo informaes de configurao de IP no caso de uma falha de servidor.

Verifique se h pelo menos dois servidores DNS hospedando cada zona.

Use o IPAM para controlar a distribuio de endereos IP e atribuies de endereo esttico.

Problemas comuns e dicas de soluo de problemas


Problema comum

Dica para a soluo de problemas

Os usurios no podem mais acessar o site de um


fornecedor que podiam acessar historicamente.
Os servidores gerenciados no podem se conectar
ao servidor IPAM.

Perguntas de reviso
Pergunta: Qual uma das desvantagens de usar o IPAM?

Problemas e cenrios reais


Pergunta: Alguns clientes de rede esto recebendo a configurao de DHCP incorreta.
Qual ferramenta voc deve usar para comear o processo de soluo de problemas?
Pergunta: Quais so algumas possveis causas das configuraes incorretas?

Ferramentas
Ferramenta

Uso

Local

Dnscmd

Configure todos os aspectos


do gerenciamento de DNS

%systemroot%\System32\dnscmd.exe

Console DHCP

Controle todos os aspectos


do gerenciamento de DHCP
de uma interface do usurio

%systemroot%\System32\dhcpmgmt.msc

Console de DNS

Controle todos os aspectos


do gerenciamento de DNS
de uma interface do usurio

%systemroot%\System32\dnsmgmt.msc

Console de
gerenciamento
do IPAM

Controle todos os aspectos


do gerenciamento de IPAM

Gerenciador do Servidor

2-1

Mdulo 2
Implementao de servios de arquivo avanados
Contedo:
Lio 1: Configurao do armazenamento iSCSI

2-2

Lio 2: Configurao de BranchCache

2-10

Lio 3: Otimizao do uso de armazenamento

2-19

Laboratrio A: Implementao de servios de arquivo avanados

2-26

Laboratrio B: Implementao do BranchCache

2-33

Reviso e informaes complementares do mdulo

2-39

Viso geral do mdulo


Os requisitos de espao de armazenamento tm aumentado desde o comeo de compartilhamentos
de arquivo baseados em servidor. Os sistemas operacionais Windows Server 2012 e Windows 8
incluem dois novos recursos, Eliminao de duplicao de dados e Espaos de Armazenamento,
para reduzir o espao em disco que necessrio e gerenciar discos fsicos efetivamente. Este mdulo
fornece uma viso geral desses recursos e explica as etapas necessrias para configur-los.
Alm de minimizar o espao em disco, outra preocupao de armazenamento a conexo entre o
armazenamento e os discos remotos. O armazenamento iSCSI (Internet Small Computer System Interface)
no Windows Server 2012 um recurso econmico que ajuda a criar uma conexo entre os servidores e
o armazenamento. Para implementar o armazenamento iSCSI no Windows Server 2012, voc deve estar
familiarizado com a arquitetura e os componentes de iSCSI. Alm disso, voc deve estar familiarizado
com as ferramentas que so fornecidas no Windows Server para implementar um armazenamento
baseado em iSCSI.
Em organizaes com filiais, voc tem que considerar links lentos e como usar esses links com eficincia
ao enviar dados entre seus escritrios. O recurso Windows BranchCache no Windows Server 2012
ajuda a resolver o problema de conectividade lenta. Este mdulo explica o recurso BranchCache
e como configur-lo.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Configurar o armazenamento iSCSI.

Configurar o BranchCache.

Otimizar o uso de armazenamento.

Implementar servios de arquivo avanados.

2-2

Implementao de servios de arquivo avanados

Lio 1

Configurao do armazenamento iSCSI


O armazenamento iSCSI um modo barato e simples de configurar uma conexo com discos
remotos. Muitos requisitos de aplicativo dizem que as conexes de armazenamento remoto devem
ser redundantes por natureza para tolerncia a falhas ou alta disponibilidade. Alm disso, muitas
empresas j tm redes tolerantes a falhas, nas quais barato mant-las redundantes ao invs de
usar SANs (redes de rea de armazenamento). Nesta lio, voc saber como criar uma conexo
entre servidores e armazenamento iSCSI. Voc executar essas tarefas usando armazenamento iSCSI
baseado em IP. Voc tambm saber como criar conexes nicas e redundantes com um destino iSCSI.
Voc praticar isso usando o software de iniciador iSCSI que est disponvel no Windows Server 2012.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever o iSCSI e seus componentes.

Descrever o servidor de destino iSCSI e o iniciador iSCSI.

Descrever as opes para implementar alta disponibilidade para iSCSI.

Descrever opes de segurana iSCSI.

Explicar como configurar o destino iSCSI.

Explicar como conectar o armazenamento iSCSI.

Descrever consideraes para implementar a soluo de armazenamento iSCSI.

O que iSCSI?
ISCSI um protocolo que suporta acesso
a dispositivos de armazenamento remotos
com base em SCSI (interface de sistema
de computadores de pequeno porte)
sobre uma rede TCP/IP. iSCSI leva comandos SCSI
padro sobre redes IP para facilitar transferncias
de dados sobre intranets e gerenciar o
armazenamento sobre distncias longas. Voc
pode usar iSCSI para transmitir dados sobre LANs
(redes locais), WANs (redes de longa distncia)
ou at mesmo sobre a Internet.

Configurao de servios avanados do Windows Server 2012

2-3

O iSCSI usa a arquitetura padro de rede Ethernet. Hardware especializado como HBA (adaptadores
de barramento de host) ou comutadores de rede opcional. O iSCSI usa TCP/IP (normalmente, porta
TCP 3260). Isto significa que o iSCSI simplesmente permite que dois hosts negociem tarefas (por exemplo,
estabelecimento de sesso, controle de fluxo e tamanho de pacote), e troquem comandos SCSI usando
uma rede Ethernet existente. Fazendo isso, o iSCSI usa uma arquitetura de subsistema de barramento
de armazenamento local popular e de alto desempenho, e emula isso sobre LANs e WANs para criar
uma SAN. Ao contrrio de algumas tecnologias de SAN, o iSCSI no requer nenhum cabeamento
especializado. Voc pode execut-lo sobre a comutao e infraestrutura de IP existentes. Porm,
voc pode aumentar o desempenho de uma implantao de SAN iSCSI operando-a em uma
rede ou sub-rede dedicada, como recomendam as prticas recomendadas.
Observao: Embora voc possa usar um adaptador de rede Ethernet padro
para conectar o servidor ao dispositivo de armazenamento iSCSI, tambm pode usar
HBAs iSCSI dedicados.
Uma implantao de SAN iSCSI inclui o seguinte:

Rede TCP/IP. Voc pode usar adaptadores de interface de rede padro e comutadores de rede
do protocolo de Ethernet padro para conectar os servidores ao dispositivo de armazenamento.
Para fornecer desempenho suficiente, a rede deve fornecer velocidades de pelo menos 1 Gbps
(gigabit por segundo) e deve fornecer vrios caminhos ao destino iSCSI. Como prtica recomendada,
use uma rede fsica e lgica dedicada para obter processamento rpido e confivel.

Destinos iSCSI. Este outro mtodo de obter acesso ao armazenamento. Os destinos iSCSI
apresentam ou anunciam armazenamento, semelhante aos controladores para unidades de disco
rgido de armazenamento localmente anexado. Porm, esse armazenamento acessado em uma
rede, em vez de localmente. Muitos fornecedores de armazenamento implementam destinos iSCSI
no nvel de hardware como parte do hardware do dispositivo de armazenamento. Outros dispositivos
ou aparelho, como dispositivos Windows Storage Server 2012, implementam destinos iSCSI usando
um driver de software junto com pelo menos um adaptador de Ethernet. O Windows Server 2012
fornece o servidor de destinos iSCSI, que efetivamente um driver para o protocolo iSCSI, como
um servio de funo.

Iniciadores iSCSI. O destino iSCSI exibe o armazenamento ao iniciador iSCSI (tambm conhecido
como o cliente), que age como um controlador de disco local para os discos remotos. Todas as
verses do Windows Server a partir do Windows Server 2008 incluem o iniciador iSCSI e podem
conectar-se a destinos iSCSI.

IQN (Nome Qualificado iSCSI). IQNs so identificadores globalmente exclusivos que so usados para
enderear os iniciadores e destinos em uma rede iSCSI. Quando voc configura um destino iSCSI,
deve configurar o IQN para os iniciadores iSCSI que sero conectados ao destino. Os iniciadores
iSCSI tambm usam IQNs para conectar-se aos destinos iSCSI. Porm, se a resoluo de nomes na
rede iSCSI for um possvel problema, os pontos de extremidade iSCSI (destino e iniciador) sempre
podero ser identificados por seus endereos IP.
Pergunta: Voc pode usar a rede TCP/IP interna de sua organizao para fornecer iSCSI?

2-4

Implementao de servios de arquivo avanados

Servidor de destino iSCSI e iniciador iSCSI


O servidor de destino iSCSI e o iniciador iSCSI
so descritos abaixo.

Servidor de destino iSCSI


O servio de funo de servidor de destino iSCSI
fornece subsistemas de disco iSCSI baseados
em software e independentes de hardware.
Voc pode usar o servidor de destino iSCSI
para criar destinos iSCSI e discos virtuais iSCSI.
Voc pode usar o Gerenciador do Servidor para
gerenciar esses destinos e discos virtuais iSCSI.
O servidor de destino iSCSI que includo no
Windows Server 2012 fornece a seguinte funcionalidade:

Inicializao de rede/sem disco. Usando adaptadores de rede de inicializao ou um carregador de


software, voc pode usar destinos iSCSI para implantar servidores sem disco rapidamente. Usando
discos virtuais diferentes, voc pode economizar at 90% do espao de armazenamento para as
imagens do sistema operacional. Isso ideal para implantaes grandes de imagens de sistema
operacional idnticas, como um farm de servidores Hyper-V ou clusters de HPC (computao
de alto desempenho).

Armazenamento de aplicativos de servidor. Alguns aplicativos como o Hyper-V e o


Microsoft Exchange Server precisam de armazenamento de bloco. O servidor de destino iSCSI
pode proporcionar a esses aplicativos armazenamento de bloco disponvel continuamente.
Como o armazenamento acessado remotamente, tambm pode combinar armazenamento
de bloco para sedes ou filiais.

Armazenamento heterogneo. O servidor de destino iSCSI suporta iniciadores iSCSI que no esto
baseados no sistema operacional Windows, de modo que voc pode compartilhar armazenamento
em servidores Windows em ambientes mistos.

Ambientes de laboratrio. A funo do servidor de destino iSCSI permite que seus computadores
Windows Server 2012 sejam dispositivos de armazenamento de bloco acessados pela rede. Isso
til em situaes nas quais voc deseja testar aplicativos antes de implant-los no armazenamento
de SAN.

Os servidores de destino iSCSI que fornecem armazenamento de bloco utilizam sua rede Ethernet
existente; nenhum hardware adicional necessrio. Se alta disponibilidade for um critrio importante,
avalie a possibilidade de configurar um cluster de alta disponibilidade. Com um cluster de alta
disponibilidade, voc precisar de armazenamento compartilhado para o cluster, armazenamento
Fiber Channel de hardware ou uma matriz de armazenamento SAS (SCSI Anexada Serial). O servidor
de destino iSCSI integrado diretamente no recurso de cluster de failover como uma funo de cluster.

Configurao de servios avanados do Windows Server 2012

Iniciador iSCSI
O servio de iniciador iSCSI tem sido um componente padro instalado por padro desde o
Windows Server 2008 e o Windows Vista. Para conectar seu computador a um destino iSCSI,
voc simplesmente inicia o servio Iniciador Microsoft iSCSI e o configura.
Os novos recursos do Windows Server 2012 incluem:

Autenticao. Voc pode permitir que o CHAP autentique conexes de iniciador ou pode ativar
o CHAP inverso para permitir que o iniciador autentique o destino iSCSI.

Consulte o computador de iniciador para ID. Isso s permitido no Windows 8


ou no Windows Server 2012.

Leitura adicional: Para obter mais informaes sobre a introduo de destinos iSCSI
no Windows Server 2012, consulte: http://go.microsoft.com/fwlink/?LinkId=270038.
Pergunta: Quando voc pensa em implementar a inicializao sem disco a partir
de destinos iSCSI?

Opes para implementar alta disponibilidade para iSCSI


Alm de definir as configuraes bsicas
de servidor de destino iSCSI e de iniciador
iSCSI, voc pode integrar esses servios
em configuraes mais avanadas.

Configurao de iSCSI para


alta disponibilidade
Criar uma nica conexo com armazenamento
iSCSI disponibiliza esse armazenamento.
Porm, isso no faz com que esse armazenamento
seja altamente disponvel. Se o iSCSI perder
a conexo, o servidor perder o acesso a seu
armazenamento. Portanto, a maioria das conexes
de armazenamento iSCSI tornam-se redundantes por uma de duas tecnologias de alta disponibilidade:
MCS (Vrias Sesses Conectadas) e MPIO (Entrada/sada (E/S) de vrios caminhos).
Embora sejam semelhantes nos resultados obtidos, essas duas tecnologias usam abordagens diferentes
para obter alta disponibilidade para conexes de armazenamento iSCSI.
MCS um recurso do protocolo iSCSI que:

Habilita vrias conexes TCP/IP do iniciador para o destino durante a mesma sesso iSCSI.

Suporta o failover automtico. Se ocorrer uma falha, todos os comandos iSCSI sero redistribudos
para outra conexo automaticamente.

Requer suporte explcito por dispositivos SAN iSCSI, embora a funo de servidor de destino iSCSI
do Windows Server 2012 oferea suporte a isso.

2-5

2-6

Implementao de servios de arquivo avanados

MPIO fornece redundncia de modo diferente:

Se voc tiver vrias NICs (cartes de interface de rede) em seu iniciador iSCSI e o servidor de destino
iSCSI, poder usar MPIO para fornecer redundncia de failover durante interrupes de rede.

MPIO precisar de um DSM (mdulo especfico do dispositivo) se voc desejar conectar-se a


um dispositivo SAN de terceiros que est conectado ao iniciador iSCSI. O sistema operacional
Windows inclui um DSM MPIO padro que instalado como o recurso MPIO no Gerenciador
do Servidor.

MPIO amplamente aceito. Muitas SANs podem usar o DSM padro sem nenhum software adicional,
enquanto outras precisam de um DSM especializado do fabricante.

MPIO mais complexo de configurar e no completamente automatizado durante


o failover como MCS.

Opes de segurana iSCSI


Como iSCSI um protocolo que fornece acesso
a dispositivos de armazenamento sobre uma
rede TCP/IP, crucial que voc proteja sua
soluo iSCSI contra usurios mal-intencionados
ou ataques. Voc pode reduzir os riscos para sua
soluo iSCSI fornecendo segurana em vrias
camadas de infraestrutura. A termo proteo
em camadas geralmente usado para descrever
o uso de vrias tecnologias de segurana
em pontos diferentes de sua organizao.
A estratgia de segurana de proteo
em camadas inclui:

Polticas, procedimentos e conhecimento. Como prtica recomendada de segurana, medidas


de poltica de segurana precisam operar dentro do contexto das polticas organizacionais.
Por exemplo, avalie a possibilidade de impor uma poltica de senha de usurio forte em toda a
organizao, mas tenha uma poltica de senha de administrador ainda mais forte para acessar
dispositivos de armazenamento iSCSI e computadores que tm o software de gerenciamento
iSCSI instalado.

Segurana fsica. Se alguma pessoa sem autorizao obtiver acesso fsico a dispositivos
de armazenamento iSCSI ou um computador em sua rede, a maioria das outras medidas
de segurana no sero teis. Voc deve garantir que os dispositivos de armazenamento iSCSI,
os computadores que os gerenciam e os servidores aos quais eles so conectados sejam
fisicamente protegidos e que o acesso seja concedido somente equipe autorizada.

Permetro. As redes de permetro marcam o limite entre redes pblicas e privadas. Fornecer
firewalls e servidores proxy inversos na rede de permetro permite fornecer servios corporativos
mais seguros na rede pblica e impede possveis ataques nos dispositivos de armazenamento
iSCSI na Internet.

Configurao de servios avanados do Windows Server 2012

Redes. Assim que voc conecta dispositivos de armazenamento iSCSI a uma rede, eles ficam
suscetveis a vrias ameaas. Essas ameaas incluem interceptao, falsificao, negao de servio
e ataques de reproduo. Voc deve usar autenticao como CHAP para proteger comunicao
entre iniciadores iSCSI e destinos iSCSI. Voc tambm pode pensar em implementar o protocolo
IPsec para criptografar o trfego entre iniciadores iSCSI e destinos iSCSI. Isolar o trfego iSCSI
em sua prpria VLAN (LAN virtual) tambm fortalece a segurana no permitindo que usurios
mal-intencionados que esto conectados VLAN corporativa ataquem dispositivos de
armazenamento iSCSI que esto conectados a um VLAN diferente. Voc tambm deve
proteger equipamentos de rede (como roteadores e comutadores), que so usados
por dispositivos de armazenamento iSCSI, contra o acesso no autorizado.

Host. A prxima camada de proteo a camada de proteo para os computadores host que
so conectados a dispositivos de armazenamento iSCSI. Voc deve manter os computadores
protegidos usando as mais recentes atualizaes de segurana. Voc deve usar o recurso
Windows Update consistentemente em sistemas operacionais Windows para manter seu
sistema operacional atualizado. Voc tambm precisa configurar polticas de segurana
como complexidade de senha, configurar o firewall de host e instalar software antivrus.

Aplicativos. Os aplicativos s so protegidos quando possuem a mais recente atualizao


de segurana. Para aplicativos executados em seus servidores, mas no integrados no
Windows Update, voc deve verificar regularmente as atualizaes de segurana emitidas
pelo fornecedor do aplicativo. Voc tambm deve atualizar o software de gerenciamento
iSCSI de acordo com as recomendaes do fornecedor e as prticas recomendadas.

Dados. Esta a camada final de segurana. Para ajudar a proteger sua rede, verifique se voc
est usando as permisses de usurio de arquivo corretamente. Faa isso usando a Criptografia
de Unidade Windows BitLocker, usando ACLs (Listas de Controle de Acesso), implementando
a criptografia de dados confidenciais com EFS (Sistema de Arquivos com Criptografia)
e executando backups regulares de dados.

Demonstrao: Configurao de um destino iSCSI


Nesta demonstrao, voc ver como:

Adicionar o servio de funo de servidor de destino iSCSI.

Criar dois discos virtuais iSCSI e um destino iSCSI.

Etapas da demonstrao
Adicionar o servio de funo de servidor de destino iSCSI
1.

Em LON-DC1, abra o Gerenciador do Servidor.

2.

No Assistente de Adio de Funes e Recursos, instale as seguintes funes e recursos no servidor


local e aceite os valores padro:
o

Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Servidor


de Destino iSCSI

2-7

2-8

Implementao de servios de arquivo avanados

Criar dois discos virtuais iSCSI e um destino iSCSI


1.

Em LON-DC1, no Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo


e Armazenamento e clique em iSCSI.

2.

No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.

3.

Crie um disco virtual com as seguintes configuraes:


o

Nome: iSCSIDisk1

Tamanho do disco: 5 GB

Destino iSCSI: Novo

Nome de destino: LON-SVR2

Servidores de acesso: 172.16.0.22

4.

Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.

5.

No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na lista suspensa TAREFAS, clique em
Novo Disco Virtual iSCSI.

6.

Crie um disco virtual com estas configuraes:

7.

Nome: iSCSIDisk2

Tamanho do disco: 5 GB

Destino iSCSI: LON-SVR2

Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.

Demonstrao: Conexo ao armazenamento iSCSI


Nesta demonstrao, voc ver como:

Conectar ao destino iSCSI.

Verificar a presena da unidade iSCSI.

Etapas da demonstrao
Etapas de preparao
Antes de iniciar esta demonstrao, execute as etapas a seguir:
1.

No computador host, no console Gerenciador Hyper-V, abra as configuraes para a mquina


virtual 24412B-LON-SVR2.

2.

Na janela Configuraes de 24412B-LON-SVR2, verifique se ambos os adaptadores de rede


herdados esto conectados a Rede Privada.

3.

Se um adaptador de rede herdado tiver um status No conectado, conecte-o rede virtual


chamada Rede Privada.

Configurao de servios avanados do Windows Server 2012

Conectar ao destino iSCSI


1.

Entre em LON-SVR2 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.

2.

Abra o Gerenciador do Servidor e, no menu Ferramentas, abra Iniciador iSCSI.

3.

Na caixa de dilogo Propriedades do Iniciador iSCSI, configure o seguinte:


o

Conectar rpido: LON-DC1

Descobrir destinos: iqn.1991-05.com.microsoft:lon-dc1-lon-svr2-target

Verificar a presena da unidade iSCSI


1.

Em Gerenciador do Servidor, no menu Ferramentas, abra Gerenciamento do Computador.

2.

No console Gerenciamento do Computador, no n Armazenamento, acesse Gerenciamento


de Disco. Note que os novos discos so adicionados. Porm, todos eles esto atualmente offline
e no formatados.

3.

Feche o console Gerenciamento do Computador.

Consideraes para implementar o armazenamento iSCSI


Ao criar sua soluo de armazenamento iSCSI,
considere as seguintes prticas recomendadas:

Implante a soluo iSCSI em redes


de pelo menos 1 Gbps.

Design de alta disponibilidade para


infraestrutura de rede crucial porque os
dados de servidores para armazenamento
iSCSI so transferidos por dispositivos de
rede e componentes. As consideraes
de alta disponibilidade foram explicadas
anteriormente neste mdulo.

Crie uma estratgia de segurana apropriada para a soluo de armazenamento iSCSI.


As consideraes e recomendaes de segurana foram explicadas anteriormente neste mdulo.

Leia as prticas recomendadas especficas do fornecedor para tipos diferentes de implantaes


e aplicativos que usaro a soluo de armazenamento iSCSI, como o Exchange Server
e o Microsoft SQL Server.

A equipe de TI que criar, configurar e administrar a soluo de armazenamento iSCSI deve


incluir os administradores de TI de reas diferentes de especializao, como administradores
do Windows Server 2012, administradores de rede, administradores de armazenamento e
administradores de segurana. Isso necessrio de forma que a soluo de armazenamento
iSCSI tenha um timo desempenho e segurana e tenha procedimentos consistentes
de gerenciamento e de operaes.

Ao criar uma soluo de armazenamento iSCSI, a equipe de design tambm deve incluir
os administradores especficos do aplicativo, como administradores do Exchange Server
e administradores do SQL Server, de forma que voc possa implementar a configurao
ideal para a tecnologia ou soluo especfica.

2-9

2-10 Implementao de servios de arquivo avanados

Lio 2

Configurao de BranchCache
Filiais tm desafios de gerenciamento exclusivos. Uma filial geralmente tem conectividade lenta com a
rede da empresa e infraestrutura limitada para proteger servidores. Alm disso, voc precisa fazer backup
dos dados que mantm em suas filiais remotas, motivo pelo qual as organizaes preferem centralizar
dados onde possvel. Portanto, o desafio fornecer acesso eficiente a recursos de rede para usurios
em filiais. O BranchCache ajuda a superar esses problemas armazenando em cache os arquivos para
que eles no tenham que ser transferidos repetidamente sobre a rede.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever o funcionamento do BranchCache.

Descrever os requisitos do BranchCache.

Explicar como definir as configuraes do servidor BranchCache.

Explicar como definir as configuraes do cliente do BranchCache.

Explicar como configurar o BranchCache.

Explicar como monitorar o BranchCache.

Como funciona o BranchCache?


O recurso BranchCache introduzido no
Windows Server 2008 R2 e no Windows 7 reduz
o uso de rede em conexes WAN entre filiais e
sedes armazenando em cache localmente arquivos
usados com frequncia em computadores na filial.
O BranchCache melhora o desempenho de
aplicativos que usam um dos protocolos a seguir:

Protocolos HTTP ou HTTPS. Esses protocolos


so usados por navegadores de Web
e outros aplicativos.

SMB (Bloco de mensagens de servidor),


incluindo o protocolo de trfego de SMB
assinado. Esse protocolo usado para acessar pastas compartilhadas.

BITS (Servio de Transferncia Inteligente em Segundo Plano). Um componente do Windows que


distribui contedo de um servidor para clientes usando somente largura de banda de rede ociosa.
O BITS tambm um componente usado pelo Microsoft System Center Configuration Manager.

Configurao de servios avanados do Windows Server 2012

2-11

Quando o cliente solicita os dados, o BranchCache recupera dados de um servidor. Como o BranchCache
um cache passivo, ele no aumentar o uso de WAN. O BranchCache s armazena em cache solicitaes
lidas e no interferir na ao quando um usurio salvar um arquivo.
O BranchCache melhora a resposta de aplicativos de rede comuns que acessam servidores de intranet
em links WAN lentos. Como o BranchCache no exige infraestrutura adicional, voc pode melhorar
o desempenho de redes remotas implantando o Windows 7 ou Windows 8 em computadores cliente
e implantando o Windows Server 2008 R2 e o Windows Server 2012 em servidores e habilitando
o recurso BranchCache.
O BranchCache funciona perfeitamente com tecnologias de segurana de rede, incluindo SSL (Secure
Sockets Layer), assinatura SMB e protocolo IPsec. Voc pode usar o BranchCache para reduzir o uso
de largura de banda de rede e melhorar o desempenho do aplicativo, mesmo que o contedo esteja
criptografado.
Voc pode configurar o BranchCache para usar o modo de cache hospedado modo ou o modo de cache
distribudo:

Modo de cache hospedado. Este modo implanta um computador que est executando o
Windows Server 2008 R2 ou verses mais recentes como um servidor de cache hospedado na filial.
Os computadores cliente localizam o computador host, de forma que possam recuperar contedo
do cache hospedado quando estiver disponvel. Se o contedo no estiver disponvel no cache
hospedado, o contedo ser recuperado do servidor de contedo usando um link WAN e fornecido
para o cache hospedado, de modo que as solicitaes de cliente sucessivas possam recuper-lo de l.

Modo de cache distribudo. Para escritrios remotos menores, voc pode configurar o BranchCache
no modo de cache distribudo sem precisar de um servidor. Neste modo, computadores cliente locais
que executam o Windows 7 ou Windows 8 mantm uma cpia do contedo e o tornam disponvel
a outros clientes autorizados que solicitam os mesmos dados. Isto elimina a necessidade de ter um
servidor na filial. Porm, ao contrrio do modo de cache hospedado, essa configurao funciona
somente em uma nica sub-rede. Alm disso, os clientes que hibernam ou se desconectam da rede
no podem fornecer contedo a outros clientes que fazem a solicitao.

Observao: Ao usar o BranchCache, voc pode usar ambos os modos em sua


organizao, mas pode configurar s um modo por filial.
A funcionalidade do BranchCache no Windows Server 2012 tem as seguintes melhorias:

Para permitir dimensionamento, o BranchCache permite mais de um servidor de cache hospedado


por local.

Um novo banco de dados subjacente usa a tecnologia de banco de dados ESE (Mecanismo de
Armazenamento Extensvel) do Exchange Server. Isso permite que um servidor de cache hospedado
armazene significativamente mais dados (at mesmo terabytes).

Uma implantao mais simples significa que voc no precisa de um GPO (Objeto de Poltica de
Grupo) para cada local. Para implantar o BranchCache, voc precisa s de um nico GPO que contm
as configuraes. Isso tambm permite aos clientes alternar entre modo de cache hospedado e modo
distribudo quando eles estiverem viajando entre locais, sem precisar usar GPOs especficos do site,
o que deve ser evitado em vrios cenrios.

2-12 Implementao de servios de arquivo avanados

Como computadores cliente recuperam dados usando o BranchCache


Quando o BranchCache est habilitado no computador cliente e no servidor, e quando o computador
cliente est usando o protocolo HTTP, HTTPS ou SMB, o computador cliente executa o seguinte processo
para recuperar dados:
1.

O computador cliente que est executando o Windows 8 conecta-se a um computador servidor


de contedo na sede que est executando o Windows Server 2012 e solicita contedo de maneira
semelhante a como faria para recuperar contedo sem usar o BranchCache.

2.

O servidor de contedo na matriz autentica o usurio e verifica se o usurio est autorizado a acessar
os dados.

3.

Em vez de enviar o contedo por sua conta, o servidor de contedo na matriz retorna identificadores
ou realiza hash do contedo solicitado para o computador cliente. O servidor de contedo envia
dados atravs da mesma conexo pela qual o contedo seria enviado normalmente.

4.

Usando os identificadores recuperados, o computador cliente faz o seguinte:


o

Se voc configurar o computador cliente para usar o cache distribudo, ele usar multicasts
na sub-rede local para localizar outros computadores cliente que j baixaram o contedo.

Se voc configurar o computador cliente para usar cache hospedado, ele procurar o contedo
no cache hospedado configurado.

5.

Se o contedo estiver disponvel na filial, em um ou mais clientes ou no cache hospedado,


o computador cliente recuperar os dados da filial. O computador cliente tambm garante
que os dados sejam atualizados e no sejam adulterados nem corrompidos.

6.

Se o contedo no estiver disponvel no escritrio remoto, o computador cliente recuperar o


contedo diretamente do servidor pelo link WAN. O computador cliente ento ou o disponibiliza
na rede local para outros computadores cliente que fazem a solicitao (modo de cache distribudo)
ou o envia para o cache hospedado, onde disponibilizado a outros computadores cliente.

Requisitos do BranchCache
O BranchCache otimiza o fluxo de trfego entre
matrizes e filiais. O Windows Server 2008 R2,
o Windows Server 2012 e computadores cliente
que executam o Windows 7 e o Windows 8
podem se beneficiar com o uso do BranchCache.
As verses anteriores dos sistemas operacionais
Windows no se beneficiam deste recurso. Voc
pode usar o BranchCache para armazenar em
cache s o contedo que armazenado em
servidores de arquivos ou servidores Web que
esto executando o Windows Server 2008 R2
ou o Windows Server 2012.

Configurao de servios avanados do Windows Server 2012

2-13

Requisitos para a utilizao do BranchCache


Para usar o BranchCache para servios de arquivo, voc deve executar as seguintes tarefas:

Instale o recurso BranchCache ou o recurso BranchCache para o servio de funo Arquivos


de Rede no servidor host que est executando o Windows Server 2012.

Configure computadores cliente, usando Poltica de Grupo ou o comando


netsh branchcache set service.

Se voc desejar usar o BranchCache para armazenar em cache o contedo do servidor de arquivos,
execute as seguintes tarefas:

Instale o BranchCache para o servio de funo Arquivos de Rede no servidor de arquivos.

Configure a publicao de hash para BranchCache.

Crie compartilhamentos de arquivos habilitados para BranchCache.

Se voc quiser usar o BranchCache para armazenar em cache contedo do servidor Web, dever instalar
o recurso BranchCache no servidor Web. Voc no precisa de configuraes adicionais.
O BranchCache suportado na instalao completa e na instalao Server Core do Windows Server 2012.
Por padro, o BranchCache no instalado no Windows Server 2012.

Requisitos para os modos de cache distribudo e hospedado


No modo de cache distribudo, o BranchCache funciona sem um servidor dedicado, mas entre clientes
no mesmo site. Se os computadores cliente forem configurados para usar o modo de cache distribudo,
qualquer computador cliente poder usar um protocolo multicast chamado Descoberta WS para procurar
localmente o computador que j baixou e armazenou em cache o contedo. Voc deve configurar
o firewall do cliente para permitir trfego de entrada, HTTP e Descoberta WS.
Porm, os clientes procuraro um servidor de cache hospedado e, se descobrirem um, sero configurados
automaticamente como clientes de modo de cache hospedado. No modo de cache hospedado, os
computadores cliente se configuram automaticamente como clientes de modo de cache hospedado e
procuraro o servidor de host, de forma que possam recuperar o contedo do cache hospedado. Alm
disso, voc pode usar a Poltica de Grupo para poder usar o FQDN dos servidores de cache hospedado
ou habilitar a descoberta automtica de cache hospedado atravs de SCPs (pontos de conexo de
servio). Voc deve configurar um firewall para permitir o trfego HTTP de entrada do servidor
de cache hospedado.
Em ambos os modos de cache, o BranchCache usa o protocolo HTTP para transferncia de dados
entre computadores cliente e o computador que est hospedando os dados armazenados em cache.

2-14 Implementao de servios de arquivo avanados

Definio das configuraes do servidor BranchCache


Voc pode usar o BranchCache para armazenar
em cache contedo de Web, que fornecido
por HTTP ou HTTPS. Voc tambm pode usar
o BranchCache para armazenar em cache
contedo de pasta compartilhada, que
fornecido pelo protocolo SMB.
A tabela a seguir lista os servidores que podem
ser configurados para o BranchCache.

Servidor

Descrio

Servidor da Web ou servidor BITS

Para configurar um servidor Web do Windows Server 2012 ou


um servidor de aplicativos que usa o protocolo BITS, instale o
recurso BranchCache. Verifique se o servio BranchCache foi
iniciado. Depois, configure os clientes que usaro o recurso
BranchCache. Nenhuma configurao de servidor Web
adicional necessria.

Servidor de arquivos

Instale o servio de funo BranchCache para Arquivos de Rede


da funo de servidor Servios de Arquivo antes de habilitar
o BranchCache para qualquer compartilhamento de arquivos.
Depois que voc instalar o BranchCache para o servio de
funo Arquivos de Rede, use Poltica de Grupo para habilitar
BranchCache no servidor. Voc deve configurar cada
compartilhamento de arquivos para habilitar o BranchCache.

Servidor de cache hospedado

Para o modo de cache hospedado, voc deve adicionar o


recurso BranchCache ao servidor Windows Server 2012 que
est configurando como um servidor de cache hospedado.
Para ajudar a proteger a comunicao, os computadores cliente
usam o Protocolo TLS para se comunicarem com o servidor
de cache hospedado.
Por padro, o BranchCache aloca cinco por cento de espao em
disco na partio ativa para hospedar dados de cache. Porm,
voc pode alterar esse valor usando a Poltica de Grupo ou
executando o comando netsh branchcache set cachesize.

Configurao de servios avanados do Windows Server 2012

2-15

Definio das configuraes do cliente BranchCache


Voc no ter que instalar o recurso BranchCache
em computadores cliente, pois o BranchCache j
estar includo se o cliente estiver executando
Windows 7 ou Windows 8. Porm, o BranchCache
desabilitado por padro em computadores
cliente. Para habilitar e configurar o BranchCache,
ser necessrio executar estas etapas:
1.

Habilitar o BranchCache.

2.

Habilitar o modo de cache distribudo ou


o modo de cache hospedado. Os clientes
do Windows 8 podem usar qualquer modo
dinamicamente.

3.

Configurar o firewall do cliente para habilitar os protocolos do BranchCache.

Habilitao do BranchCache
Voc pode habilitar o recurso BranchCache em computadores cliente usando a Poltica de Grupo,
o Windows PowerShell ou o comando netsh branchcache set service.
Para definir configuraes de BranchCache usando a Poltica de Grupo, execute as etapas a seguir
para um GPO baseado em domnio:
1.

Abra o Console de Gerenciamento de Poltica de Grupo.

2.

Crie um GPO que ser vinculado OU (unidade organizacional) onde os computadores cliente
esto localizados.

3.

Em um GPO, navegue at Configurao do Computador\Polticas\Modelos Administrativos:


Definies de poltica (arquivos ADMX) recuperadas de computador local\Rede e clique
em BranchCache.

4.

Habilite a configurao Ativar o BranchCache no GPO.

Habilitando o modo de Cache Distribudo ou o modo de Cache Hospedado


Voc pode configurar o modo BranchCache em computadores cliente usando a Poltica de Grupo,
o Windows PowerShell ou o comando netsh branchcache set service.
Para configurar o modo BranchCache usando a Poltica de Grupo, execute as etapas a seguir para
um GPO baseado em domnio:
1.

Abra o Console de Gerenciamento de Poltica de Grupo.

2.

Crie um GPO que ser vinculado OU onde os computadores cliente esto localizados.

3.

Em um GPO, navegue at Configurao do Computador\Polticas\Modelos Administrativos:


Definies de poltica (arquivos ADMX) recuperadas de computador local\Rede e clique em
BranchCache.

4.

Escolha o modo de cache distribudo ou o modo de cache hospedado. Voc tambm pode habilitar o
modo de cache distribudo e a descoberta automtica de cache hospedado atravs das configuraes
de poltica Ponto de Conexo de Servio. Os computadores cliente operaro em modo de cache
distribudo a menos que localizem um servidor de cache hospedado na filial. Se eles localizarem
um servidor de cache hospedado na filial, funcionaro no modo de cache hospedado.

2-16 Implementao de servios de arquivo avanados

Para habilitar o BranchCache com Windows PowerShell, use os cmdlets Enable-BCDistributed ou


Enable-BCHostedServer. Voc tambm pode usar o cmdlet Enable-BCHostedClient para configurar
o BranchCache para operar no modo de cliente de cache hospedado.
Por exemplo, o cmdlet a seguir habilita o modo de cliente de cache hospedado usando o computador
SRV1.adatum.com como um servidor de cache hospedado para clientes Windows 7 e HTTPS.
Enable-BCHostedClient ServerNames SRV1.adatum.com UseVersion Windows7

O cmdlet a seguir habilita o modo de cache hospedado e o ponto de conexo de servio do registrador
em AD DS (Servios de Domnio do Active Directory).
Enable-BCHostedServer RegisterSCP

O cmdlet a seguir habilita o modo de cache distribudo no servidor.


Enable-BCDistributed

Para definir configuraes de BranchCache usando o comando netsh branchcache set service, abra
uma janela de prompt de comando e execute as etapas a seguir:
1.

Digite a sintaxe netsh a seguir para o modo de cache distribudo:


netsh branchcache set service mode=distributed

2.

Digite a sintaxe netsh a seguir para o modo hospedado:


netsh branchcache set service mode=hostedclient location=<servidor de cache
hospedado>

Configurao do firewall do cliente para habilitar os protocolos do BranchCache


No modo de cache distribudo, os clientes do BranchCache usam o protocolo HTTP para transferncia
de dados entre computadores cliente e o protocolo de Descoberta WS para descoberta de contedo
armazenada em cache. Voc deve configurar o firewall do cliente para permitir as seguintes regras
de entrada:

BranchCacheRecuperao de Contedo (Usa HTTP)

BranchCacheDescoberta no Mesmo Nvel (Usa Descoberta WS)

No modo de cache hospedado, os clientes do BranchCache usam o protocolo HTTP para transferncia
de dados entre computadores cliente, mas esse modo no usa o protocolo de Descoberta WS.
No modo de cache hospedado, voc deve configurar o firewall de cliente para permitir a regra
de entrada, BranchCacheRecuperao de Contedo (usa HTTP).

Tarefas adicionais de configurao para o BranchCache


Depois que voc configurar o BranchCache, os clientes podem acessar os dados armazenados em cache
em servidores de contedo habilitados por BranchCache, que esto disponveis localmente na filial.
Voc pode modificar as configuraes do BranchCache e pode executar tarefas de configurao
adicionais, como:

Configurao do tamanho do cache.

Configurao do local do servidor de cache hospedado.

Limpeza do cache.

Criao e replicao de uma chave compartilhada para utilizao em um cluster de servidores.

Configurao de servios avanados do Windows Server 2012

2-17

Demonstrao: Configurao de BranchCache


Nesta demonstrao, voc ver como:

Adicionar o BranchCache para o servio de funo Arquivos de Rede.

Configurar o BranchCache no Editor de Poltica de Grupo Local.

Habilitar o BranchCache para um compartilhamento de arquivos.

Etapas da demonstrao
Adicionar o BranchCache para o servio de funo Arquivos de Rede
1.

Entre em LON-DC1 e abra o Gerenciador do Servidor.

2.

No Assistente de Adio de Funes e Recursos, instale as seguintes funes e recursos no servidor


local:
o

Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\BranchCache


para arquivos de rede

Habilitar o BranchCache para o servidor


1.

Na tela inicial, digite gpedit.msc e pressione Enter.

2.

Navegue at Configurao do Computador\Modelos Administrativos\Rede\Lanman Server


e faa o seguinte:
o

Habilite Publicao de hash para BranchCache

Selecione Permitir a publicao de hash somente na pasta compartilhada na qual


o BranchCache est habilitado

Habilitar o BranchCache para um compartilhamento de arquivos


1.

Abra uma janela do Explorador de Arquivos e, na unidade C, crie uma pasta chamada Share.

2.

Configure as propriedades da pasta Share do seguinte modo:


o

Habilite Compartilhar esta pasta

Marque Habilitar BranchCache em Configuraes Offline

2-18 Implementao de servios de arquivo avanados

Monitoramento do BranchCache
Depois da configurao inicial, voc pode
querer verificar se o BranchCache est
configurado corretamente e funcionando de
maneira adequada. Voc pode usar o comando
netsh branchcache show status all para exibir
o status de servio do BranchCache. Voc tambm
pode usar o cmdlet Get-BCStatus para fornecer
o status e informaes de configurao do
BranchCache. Os servidores cliente e servidores de
cache hospedado exibem informaes adicionais,
como o local do cache local, o tamanho do cache
local e o status das regras de firewall para HTTP e
os protocolos de Descoberta WS que o BranchCache.
Voc tambm poder usar as seguintes ferramentas para monitorar o BranchCache:

Visualizador de Eventos. Use esta ferramenta para monitorar os eventos do BranchCache


que so registrados no log Aplicativo e no log Operacional. O log Aplicativo est localizado
na pasta Logs do Windows, e o log Operacional est localizado na pasta Logs de Aplicativo
e Servio\Microsoft\Windows\BranchCache.

Contadores de desempenho. Use esta ferramenta para monitorar os contadores do monitor de


desempenho do BranchCache. Os contadores do monitor de desempenho do BranchCache so
ferramentas de depurao teis para monitorar a eficcia e a integridade do BranchCache. Voc
tambm pode usar o monitoramento de desempenho do BranchCache para determinar a economia
de largura de banda no modo de Cache Distribudo ou no modo de cache hospedado. Se voc tiver
o Microsoft System Center 2012 - Operations Manager implementado no ambiente, poder usar o
Pacote de Gerenciamento do Windows BranchCache para o Operations Manager 2012.

Configurao de servios avanados do Windows Server 2012

2-19

Lio 3

Otimizao do uso de armazenamento


Toda organizao armazena dados em sistemas de armazenamento diferentes. Como os sistemas de
armazenamento processam cada vez mais dados em velocidades mais altas, a demanda de espao em
disco para armazenar os dados aumentou. A grande quantidade de arquivos, pastas e informaes e
o modo como eles so armazenados, organizados, gerenciados e mantidos se torna um desafio para
as organizaes. Alm disso, as organizaes devem satisfazer requisitos de segurana, conformidade
e preveno de vazamento de dados das informaes confidenciais da empresa.
O Windows Server 2012 introduz muitas tecnologias que podem ajudar as organizaes a responder
aos desafios de gerenciamento, manuteno, segurana e otimizao dos dados que so armazenados
em dispositivos de armazenamento diferentes. As tecnologias incluem o Gerenciador de Recursos de
Servidor de Arquivos, a infraestrutura de classificao de arquivo e eliminao de dados duplicados,
cada um fornecendo novos recursos em comparao com o Windows Server 2008 R2.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever o Gerenciador de Recursos de Servidor de Arquivos.

Descrever a classificao de arquivos.

Descrever as regras de classificao.

Explicar como configurar a classificao de arquivos.

Descrever as opes de otimizao de armazenamento no Windows Server 2012.

Explicar como configurar a eliminao de dados duplicados.

O que o Gerenciador de Recursos de Servidor de Arquivos?


Voc pode usar o FSRM (Gerenciador de
Recursos de Servidor de Arquivos) para
gerenciar e classificar dados que so
armazenados em servidores de arquivos.
O FSRM inclui os seguintes recursos:

Infraestrutura de classificao de arquivos.


Este recurso automatiza o processo de
classificao de dados. Voc pode aplicar
polticas de acesso dinamicamente a arquivos
com base em sua classificao. Exemplos
de polticas incluem Controle de Acesso
Dinmico para restringir o acesso a arquivos,
criptografia de arquivo e expirao de arquivo. Voc pode classificar arquivos automaticamente
usando regras de classificao de arquivo ou modificando manualmente as propriedades de um
arquivo ou uma pasta selecionada. Podemos modificar propriedades de arquivo automaticamente
com base no tipo de aplicativo ou no contedo do arquivo, ou definindo opes manualmente
no servidor que acionar a classificao de arquivos.

2-20 Implementao de servios de arquivo avanados

Tarefas de gerenciamento de arquivos. Voc pode usar este recurso para aplicar uma poltica
ou ao condicional aos arquivos, baseado em sua classificao. As condies de uma tarefa de
gerenciamento de arquivo incluem o local do arquivo, as propriedades de classificao, a data em
que o arquivo foi criado, a data da ltima modificao do arquivo e a ltima vez que o arquivo foi
acessado. As aes que uma tarefa de gerenciamento de arquivo pode tomar incluem a capacidade
para expirar arquivos, criptografar arquivos e executar um comando personalizado.

Gerenciamento de cota. Voc pode usar este recurso para limitar o espao que permitido para um
volume ou pasta. Voc pode aplicar cotas automaticamente a novas pastas que so criadas em um
volume. Voc tambm pode definir modelos de cota que pode aplicar a novos volumes ou pastas.

Gerenciamento de triagem de arquivo. Voc pode usar este recurso para controlar os tipos de
arquivos que os usurios podem armazenar em um servidor de arquivos. Voc pode limitar a
extenso que pode ser armazenada em seus compartilhamentos de arquivos. Por exemplo, voc
pode criar uma triagem de arquivo que rejeita o armazenamento de arquivos com uma extenso
.mp3 em pastas compartilhadas pessoais em um servidor de arquivos.

Relatrios de armazenamento. Voc pode usar este recurso para identificar tendncias em uso
de disco e identificar como seus dados so classificados. Voc tambm pode monitorar tentativas
por usurios de salvar arquivos no autorizados.

Voc pode configurar e gerenciar o FSRM usando o snap-in MMC (Console de Gerenciamento Microsoft)
do Gerenciador de Recursos de Servidor de Arquivos, ou usando a interface de linha de comando
do Windows PowerShell.
Os seguintes recursos do FSRM so novos no Windows Server 2012:

Integrao com Controle de Acesso Dinmico. O Controle de Acesso Dinmico pode usar uma
infraestrutura de classificao de arquivo para ajudar a controlar centralmente e auditar o acesso
a arquivos em seus servidores de arquivos.

Classificao manual. A classificao manual permite aos usurios classificar arquivos e pastas
manualmente sem a necessidade de criar regras de classificao automticas.

Assistncia para acesso negado. Voc pode usar a Assistncia para Acesso Negado para personalizar
a mensagem de erro de acesso negado que exibida para os usurios na Visualizao do
Consumidor do Windows 8 quando eles no tm acesso a um arquivo ou uma pasta.

Tarefas de gerenciamento de arquivos. As atualizaes para tarefas de gerenciamento de arquivo


incluem tarefas de gerenciamento de arquivo do AD DS e AD RMS (Active Directory Rights
Management Services), tarefas de gerenciamento de arquivo contnuas e namespace dinmico
para tarefas de gerenciamento de arquivo.

Classificao automtica. As atualizaes para classificao automtica aumentam o nvel de controle


que voc tem sobre como os dados so classificados em seus servidores de arquivos, incluindo
classificao contnua, o Windows PowerShell para classificao personalizada, atualizaes para
o classificador de contedo existente e namespace dinmico para regras de classificao.

Leitura adicional: Para obter mais informaes sobre FSRM, consulte


Novidades em Gerenciador de Recursos de Servidor de Arquivos em
http://go.microsoft.com/fwlink/?LinkId=270039.
Pergunta: Voc est usando o FSRM atualmente no Windows Server 2008 R2?
Em caso afirmativo, para que reas voc o utiliza?

Configurao de servios avanados do Windows Server 2012

2-21

O que classificao de arquivos?


A classificao de arquivos permite aos
administradores configurar procedimentos
automticos para definir uma propriedade
desejada em um arquivo, com base em
condies especificadas em regras de
classificao. Por exemplo, voc pode definir
a propriedade Confidencialidade como Alto
em todos os documentos cujo contedo contm
a palavra "sigilo".
No Windows Server 2008 R2 e no
Windows Server 2012, as tarefas de
gerenciamento de classificao e gerenciamento
de arquivo permitem aos administradores gerenciar grupos de arquivos com base em vrios atributos de
arquivo e pasta. Voc pode automatizar tarefas de manuteno de arquivos e pastas, como limpar dados
obsoletos ou proteger informaes confidenciais. Por isso, as tarefas de manuteno de arquivo e pasta
so mais eficientes do que manter o sistema de arquivos navegando por sua exibio hierrquica.
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, a classificao
realizada manualmente. A infraestrutura de classificao de arquivos no Windows Server 2012 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e podem aplicar requisitos corporativos para gerenciar dados com base no valor comercial.
Voc pode usar a classificao de arquivo para executar as seguintes aes:
1.

Definir propriedades de classificao e valores que voc pode atribuir a arquivos executando
regras de classificao.

2.

Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.

3.

Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades
que suportam diversos valores. Voc tambm pode usar regras de classificao para desclassificar
arquivos que no esto mais no critrio de classificao.

2-22 Implementao de servios de arquivo avanados

O que so regras de classificao?


A infraestrutura de classificao de arquivo usa
regras de classificao para digitalizar arquivos
automaticamente e classific-los de acordo
com o contedo de um arquivo. Voc configura
as classificaes de arquivos no console do
Gerenciador de Recursos de Servidor de Arquivos.
As propriedades de classificao so definidas
centralmente no AD DS de forma que essas
definies possam ser compartilhadas entre
servidores de arquivos na organizao. Voc
pode criar regras de classificao que verificam
nos arquivos uma cadeia de caracteres padro
ou que corresponda a um padro (expresso regular). Quando um parmetro de classificao configurado
localizado em um arquivo, esse arquivo classificado como configurado na regra de classificao.
Ao planejar classificaes de arquivos, voc deve fazer o seguinte:
1.

Identifique qual classificao ou quais classificaes voc deseja aplicar aos documentos.

2.

Determine o mtodo que voc deseja usar para identificar os documentos para classificao.

3.

Determine a agenda de classificaes automticas.

4.

Estabelea uma reviso de xito de classificao.

Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitem controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.

Demonstrao: Configurao da classificao de arquivos


Nesta demonstrao, voc ver como:

Criar uma propriedade de classificao

Criar uma regra de classificao

Etapas da demonstrao
Criar uma propriedade de classificao
1.

Em LON-SVR1, o console Gerenciador do Servidor deve abrir automaticamente. No Gerenciador


do Servidor, inicie o Gerenciador de Recursos de Servidor de Arquivos.

2.

No Gerenciador de Recursos de Servidor de Arquivos, crie uma propriedade local com


as seguintes configuraes:
o

Nome: Corporate Documentation

Tipo de propriedade: Sim/No

Configurao de servios avanados do Windows Server 2012

3.

2-23

No Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao com


as seguintes configuraes:
o

Guia Geral, Nome da regra: Regra de documentos corporativos. Verifique se a regra


est habilitada.

Guia Escopo: E:\Labfiles\Corporate Documentation

Guia Classificao, Mtodo de classificao: Classificador de Pasta

Propriedade - Escolha uma propriedade para atribuir a arquivos: Corporate Documentation

Propriedade - Especifique um valor: Sim.

Guia Tipo de Avaliao, Reavaliar os valores de propriedade existentes e Agregar


os valores.

4.

Esperar a classificao com todas as regras e selecione Esperar a concluso da classificao.

5.

Revise o Relatrio de classificao automtica que exibido no Windows Internet Explorer


e verifique se o relatrio lista o mesmo nmero de arquivos classificados como na pasta
Corporate Documentation.

Opes de otimizao de armazenamento no Windows Server 2012


O Windows Server 2012 inclui novas opes para
otimizao de armazenamento que proporcionam
um modo eficiente de implantar, administrar
e proteger suas solues de armazenamento.
Os recursos de otimizao de armazenamento
incluem o seguinte:

Auditoria de acesso a arquivos. A auditoria


de acesso a arquivos no Windows Server 2012
cria um evento de auditoria sempre
que arquivos so acessados por usurios.
Em comparao com as verses anteriores
do Windows Server, esses dados de evento
de auditoria contm informaes adicionais sobre os atributos do arquivo que foi acessado.

Recursos sob demanda. Os recursos sob demanda permitem economizar espao em disco,
permitindo remover arquivos de funo e recurso do sistema operacional. Se voc precisar instalar
essas funes e recursos no servidor, os arquivos de instalao sero recuperados de locais remotos,
mdia de instalao ou Windows Update. Voc pode remover arquivos de recurso de computadores
fsicos e virtuais, arquivos de imagem do Windows (.wim) e VHDs (discos rgidos virtuais offline).

2-24 Implementao de servios de arquivo avanados

Eliminao de duplicao de dados. A eliminao de duplicao de dados identifica e remove


duplicaes de dados sem comprometer a integridade dos dados. A eliminao de duplicao de
dados altamente escalvel, no consome muitos recursos e no invasiva. Ela pode ser executada
simultaneamente em grandes volumes de dados primrios sem afetar outras cargas de trabalho no
servidor. O baixo impacto em cargas de trabalho de servidor mantido limitando os recursos de CPU
e memria que so consumidos. Usando trabalhos de eliminao de duplicao de dados, voc pode
agendar quando ela deve ser executada, especificar os recursos cuja duplicao deve ser eliminada
e ajustar a seleo de arquivos. Quando combinadas com o BranchCache, as mesmas tcnicas de
otimizao so aplicadas aos dados que so transferidos sobre a WAN a uma filial. Isso resulta
em tempos de download de arquivo mais rpidos e menor consumo de largura de banda.

Armazenamento de dados NFS. O armazenamento de dados do sistema de arquivos de rede (NFS)


a implementao do servidor NFS em sistemas operacionais Windows Server 2012. No
Windows Server 2012, o servidor NFS suporta alta disponibilidade, o que significa que voc pode
implantar o servidor em uma configurao de cluster de failover. Quando um cliente se conecta
a um servidor NFS no cluster de failover, e se esse servidor falhar, o servidor NFS falhar em outro
n no cluster, de forma que o cliente ainda poder se conectar ao servidor NFS.

Demonstrao: Configurao da eliminao da duplicao de dados


Nesta demonstrao, voc ver como:

Adicionar o servio de funo de eliminao de duplicao de dados.

Habilitar a eliminao de duplicao de dados.

Testar a eliminao de duplicao de dados.

Etapas da demonstrao
Adicionar o servio de funo de eliminao de duplicao de dados
1.

Entre em LON-SVR1 como Adatum\Administrador usando a senha Pa$$w0rd.

2.

Abra o Gerenciador do Servidor.

3.

No Assistente de Adio de Funes e Recursos, instale as seguintes funes e recursos no servidor


local e aceite os valores padro:
o

Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Eliminao


de Duplicao de Dados

Habilitar a eliminao de duplicao de dados


1.

No Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo


e Armazenamento e clique em Volumes.

2.

No painel Volumes, clique com o boto direito na unidade E: e clique em Configurar Eliminao
da Duplicao de Dados.

3.

Configure a eliminao da duplicao de dados com as seguintes definies:


o

Habilitar a eliminao de duplicao de dados: Habilitado

Eliminar duplicaes de arquivos com mais de (em dias): 3

Definir a agenda de eliminao de duplicao: Habilitar otimizao de processamento

Hora de incio: hora atual

Configurao de servios avanados do Windows Server 2012

Testar a eliminao de duplicao de dados


1.

Em LON-SVR1, copie o arquivo OBSInstaller.exe da pasta raiz da unidade E: para a pasta


E:\LabFiles.

2.

Verifique o tamanho do arquivo em ambos os locais.

3.

No Windows PowerShell, em LON-SVR1, digite o seguinte cmdlet para iniciar o trabalho


de eliminao de duplicao no modo de otimizao:
Start-DedupJob Type Optimization Volume E:

4.

Quando o trabalho terminar, verifique o tamanho do arquivo OBSInstaller.exe na pasta raiz


na unidade E:.

5.

Na caixa de dilogo Propriedades do arquivo OBSInstaller.exe, observe os valores para Tamanho


e Tamanho em Disco. O tamanho no disco deve ser muito menor do que era anteriormente.

2-25

2-26 Implementao de servios de arquivo avanados

Laboratrio A: Implementao de servios de arquivo


avanados
Cenrio
Conforme a A. Datum Corporation foi se expandindo, os requisitos para gerenciar o acesso a
armazenamento e arquivo compartilhado tambm expandiram. Embora o custo de armazenamento
tenha diminudo significativamente durante os ltimos anos, a quantidade de dados gerada pelos grupos
comerciais da A. Datum aumentou ainda mais rapidamente. A organizao est pensando em modos
alternativos de diminuir o custo de armazenar dados na rede e est considerando opes para otimizar o
acesso aos dados nas novas filiais. A organizao tambm gostaria de garantir que os dados armazenados
nas pastas compartilhadas fossem limitados aos dados de empresa, e que no inclussem tipos de arquivo
no aprovados.
Como administrador de servidor snior da A. Datum, voc responsvel por implementar
as novas tecnologias de armazenamento de arquivo para a organizao. Voc implementar o
armazenamento iSCSI para fornecer uma opo menos complicada para implantar grandes quantidades
de armazenamento.

Objetivos

Configurar o armazenamento iSCSI.

Configurar a infraestrutura de classificao de arquivos.

Configurao do laboratrio
Tempo previsto: 75 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
Antes de iniciar as mquinas virtuais para este laboratrio, execute as seguintes etapas s para
24412B-LON-DC1:
1.

No computador host, clique em Gerenciador Hyper-V na barra de tarefas.

2.

No console Gerenciador Hyper-V, clique com o boto direito em 24412B-LON-DC1, e clique


em Configuraes.

Configurao de servios avanados do Windows Server 2012

2-27

3.

Na janela Configuraes de 24412B-LON-DC1, no painel esquerdo, verifique se o primeiro


adaptador de rede herdado est conectado a Rede Privada, e o segundo adaptador de rede
herdado est conectado a Rede Privada 2.

4.

Se houver s um adaptador de rede herdado, no painel esquerdo, clique em Adicionar Hardware,


no painel direito, clique em Adaptador de Rede Herdado, clique em Adicionar e, no painel direito,
na lista suspensa Rede, selecione Rede Privada 2. Clique em OK.

Observao: Voc poder executar s a etapa anterior se LON-DC1 no tiver sido iniciado.
Se LON-DC1 j tiver sido iniciado, desligue LON-DC1 e execute a etapa.
5.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

6.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

7.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

8.

Entre usando as seguintes credenciais:

9.

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

Repita as etapas de 6 a 8 para 24412B-LON-SVR1 e 24412B-LON-SVR2.

Exerccio 1: Configurao do armazenamento iSCSI


Cenrio
Para diminuir o custo e a complexidade de configurar o armazenamento centralizado, a A. Datum
decidiu usar iSCSI para fornecer armazenamento. Para comear, voc instalar e configurar
o destino iSCSI e, ento, configurar o acesso ao destino configurando os iniciadores iSCSI.
As principais tarefas deste exerccio so:
1.

Instalar o recurso de destino iSCSI.

2.

Configurar os destinos iSCSI.

3.

Configurao do MPIO.

4.

Conectar e configurar os destinos iSCSI.

Tarefa 1: Instalar o recurso de destino iSCSI


1.

Entre em LON-DC1 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.

2.

Abra o Gerenciador do Servidor.

3.

No Assistente de Adio de Funes e Recursos, instale as seguintes funes e recursos no servidor


local e aceite os valores padro:
o

Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Servidor


de Destino iSCSI

2-28 Implementao de servios de arquivo avanados

Tarefa 2: Configurar os destinos iSCSI


1.

Em LON-DC1, no Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo


e Armazenamento e clique em iSCSI.

2.

Crie um disco virtual com as seguintes configuraes:


o

Local de armazenamento: C:

Nome do disco: iSCSIDisk1

Tamanho: 5 GB

Destino iSCSI: Novo

Nome de destino: lon-dc1

Servidores de acesso: 172.16.0.22 e 131.107.0.2

3.

Na pgina Exibir resultados, espere at a criao terminar e clique em Fechar.

4.

Crie um novo disco virtual iSCSI com as seguintes configuraes:

5.

6.

7.

Local de armazenamento: C:

Nome do disco: iSCSIDisk2

Tamanho: 5 GB

Destino iSCSI: lon-dc1

Crie um novo disco virtual iSCSI com as seguintes configuraes:


o

Local de armazenamento: C:

Nome do disco: iSCSIDisk3

Tamanho: 5 GB

Destino iSCSI: lon-dc1

Crie um novo disco virtual iSCSI com as seguintes configuraes:


o

Local de armazenamento: C:

Nome do disco: iSCSIDisk4

Tamanho: 5 GB

Destino iSCSI: lon-dc1

Crie um novo disco virtual iSCSI com as seguintes configuraes:


o

Local de armazenamento: C:

Nome do disco: iSCSIDisk5

Tamanho: 5 GB

Destino iSCSI: lon-dc1

Tarefa 3: Configurao do MPIO


1.

Entre em LON-SVR2 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.

2.

Em LON-SVR2, no Gerenciador do Servidor, abra o console Roteamento e acesso remoto.

Configurao de servios avanados do Windows Server 2012

3.

Aguarde at que o Assistente para Habilitar o DirectAccess aparea e cancele o Assistente


para Habilitar o DirectAccess.

4.

Clique com o boto direito do mouse do mouse em LON-SVR2 e clique em Desabilitar


Roteamento e Acesso Remoto. Clique em Sim e feche o console Roteamento e acesso remoto.

2-29

Observao: Normalmente, voc no desabilita RRAS (Roteamento e Acesso Remoto)


antes de configurar o MPIO. Voc faz isso aqui por causa de requisitos de laboratrio.
5.

Em Gerenciador do Servidor, inicie o Assistente de Adio de Funes e Recursos e instale


o recurso Multipath I/O.

6.

No Gerenciador do Servidor, no menu Ferramentas, abra Iniciador iSCSI e configure o seguinte:

7.

Habilitar o servio Iniciador iSCSI

Conexo Rpida ao destino: LON-DC1

No Gerenciador do Servidor, no menu Ferramentas, abra MPIO e configure o seguinte:


o

Habilitar Adicionar suporte para dispositivos iSCSI em Descobrir Vrios Caminhos

8.

Depois que o computador reiniciar, entre em LON-SVR2 com o nome de usurio


Adatum\Administrador e a senha Pa$$w0rd.

9.

Em Gerenciador do Servidor, no menu Ferramentas, clique em MPIO e verifique se


ID de Hardware de Dispositivo MSFT2005iSCSIBusType_0x9 foi adicionado lista.

Tarefa 4: Conectar e configurar os destinos iSCSI


1.

Em LON-SVR2, em Gerenciador do Servidor, no menu Ferramentas, abra Iniciador iSCSI.

2.

Na caixa de dilogo Propriedades de Iniciador iSCSI, execute as seguintes etapas:


o

Desconecte todos os Destinos.

Conecte e Habilite vrios caminhos.

Defina as opes Avanadas do seguinte modo:

3.

Adaptador local: Iniciador Microsoft iSCSI

IP do iniciador: 172.16.0.22

IP do portal de destino: 172.16.0.10 / 3260

Conectar-se a outro destino, Habilitar mltiplos caminhos e defina as seguintes configuraes


Avanadas:

Adaptador local: Iniciador Microsoft iSCSI

IP do iniciador: 131.107.0.2

IP do portal de destino: 131.107.0.1 / 3260

Na lista Destinos, abra Dispositivos para iqn.1991-05.com.microsoft:lon-dc1-lon-dc1-target,


acesse as informaes de MPIO e ento verifique se, em Poltica de Balanceamento de Carga,
Round Robin est selecionado. Verifique se dois caminhos esto listados olhando para os
endereos IP de ambos os adaptadores de rede.

Resultados: Depois de concluir este exerccio, voc ter configurado e se conectado aos destinos iSCSI.

2-30 Implementao de servios de arquivo avanados

Exerccio 2: Configurao da infraestrutura de classificao de arquivos


Cenrio
A A. Datum notou que muitos usurios esto copiando a documentao corporativa para suas unidades
mapeadas nos servidores de arquivos dos usurios ou departamento. Como resultado, h muitas
verses diferentes dos mesmos documentos na rede. Para assegurar que s a verso mais recente
da documentao esteja disponvel para a maioria dos usurios, voc precisa configurar um sistema
de classificao de arquivo que excluir arquivos especficos de pastas de usurio.
As principais tarefas deste exerccio so:
1.

Criar uma propriedade de classificao para documentao corporativa.

2.

Criar uma regra de classificao para documentao corporativa.

3.

Criar uma regra de classificao que se aplica a uma pasta compartilhada.

4.

Crie uma tarefa de gerenciamento de arquivos para expirar documentos corporativos.

5.

Verifique se os documentos corporativos esto expirados.

Tarefa 1: Criar uma propriedade de classificao para documentao corporativa


1.

Em LON-SVR1, no Gerenciador do Servidor, inicie o Gerenciador de Recursos de Servidor


de Arquivos.

2.

Em Gerenciador de Recursos de Servidor de Arquivos, em Gerenciamento de Classificao,


crie uma propriedade local com as seguintes configuraes:

3.

Nome: Corporate Documentation

Tipo de propriedade: Sim/No

Deixe o Gerenciador de Recursos de Servidor de Arquivos aberto.

Tarefa 2: Criar uma regra de classificao para documentao corporativa


1.

No console Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao com
as seguintes configuraes:
o

Guia Geral, Nome da regra: Regra de Documentos Corporativos e verifique se a regra est
habilitada.

Guia Escopo: pasta E:\Labfiles\Corporate Documentation

Guia Classificao:

Mtodo de classificao: Classificador de Pasta

Propriedade, Escolha uma propriedade para atribuir a arquivos: Corporate Documentation

Propriedade, Especifique um valor: Sim

Guia Tipo de avaliao: Reavaliar os valores de propriedade existentes e Agregar


os valores

2.

Selecione Execute a classificao com todas as regras e Esperar a concluso da classificao.

3.

Revise o Relatrio de classificao automtica que exibido no Internet Explorer e verifique se o


relatrio lista o mesmo nmero de arquivos classificados como na pasta Documentao Corporativa.

4.

Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.

Configurao de servios avanados do Windows Server 2012

2-31

Tarefa 3: Criar uma regra de classificao que se aplica a uma pasta compartilhada
1.

2.

No console Gerenciador de Recursos de Servidor de Arquivos, crie uma propriedade local


com as seguintes configuraes:
o

Nome: Expiration Date

Tipo de propriedade: Data e hora

No console Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao


com as seguintes configuraes:
o

Guia Geral, Nome da regra: Regra de Expirao e verifique se a regra est habilitada

Guia Escopo: E:\Labfiles\Corporate Documentation

Guia Classificao, Mtodo de classificao: Classificador de Pasta

Propriedade, Escolha uma propriedade para atribuir a arquivos: Expiration Date

Guia Tipo de avaliao: Reavaliar os valores de propriedade existentes e Agregar os valores

3.

Selecione Execute a classificao com todas as regras e Esperar a concluso da classificao.

4.

Revise o Relatrio de classificao automtica que exibido no Internet Explorer e verifique se o


relatrio lista o mesmo nmero de arquivos classificados como na pasta Documentao Corporativa.

5.

Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.

Tarefa 4: Crie uma tarefa de gerenciamento de arquivos para expirar documentos


corporativos
1.

No Gerenciador de Recursos de Servidor de Arquivos, crie uma tarefa de gerenciamento de arquivos


com as seguintes configuraes:
o

Guia Geral, Nome da tarefa: Expired Corporate Documents e verifique se a tarefa est
habilitada

Guia Escopo: E:\Labfiles\Corporate Documentation

Guia Ao, Tipo: Expirao do arquivo est selecionado,

Diretrio de expirao: E:\Labfiles\Expired

Guia Notificao: Log de Eventos e Enviar aviso para log de eventos

Guia Condio, Dias desde a ltima modificao do arquivo: 1

Observao: Esse valor serve apenas para fins de laboratrio. Em um cenrio real, o valor
seria 365 dias ou mais, dependendo da poltica de cada empresa.
o

Guia Agendar: Semanalmente e Domingo

Deixe o console Gerenciador de Recursos de Servidor de Arquivos aberto.

2-32 Implementao de servios de arquivo avanados

Tarefa 5: Verifique se os documentos corporativos esto expirados


1.

Em Gerenciador de Recursos de Servidor de Arquivos, clique em Executar Tarefa de Gerenciamento


de Arquivos Agora e clique em Esperar a tarefa ser concluda.

2.

Revise o Relatrio de gerenciamento de arquivos que exibido no Internet Explorer e verifique se o


relatrio lista o mesmo nmero de arquivos classificados como na pasta Documentao Corporativa.

3.

Inicie o Visualizador de Eventos e, no console Visualizador de Eventos, abra o log de evento


Aplicativo.

4.

Revise os eventos com nmeros 908 e 909. Note que 908 - FSRM iniciou um trabalho de
gerenciamento de arquivo e 909 - FSRM concluiu um trabalho de gerenciamento de arquivo.

Resultados: Depois de concluir este exerccio, voc ter configurado uma infraestrutura de classificao
de arquivo de forma que a verso mais recente da documentao sempre estar disponvel aos usurios.

Para se preparar para o prximo laboratrio


Quando voc concluir o laboratrio, reverta 24412B-LON-SVR2. Para fazer isso, execute estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-SVR2


e clique em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.


Mantenha todas as outras mquinas virtuais ligadas para o prximo laboratrio.

Configurao de servios avanados do Windows Server 2012

Laboratrio B: Implementao do BranchCache


Cenrio
A A Datum Corporation implantou uma nova filial, que tem um nico servidor. Para otimizar o acesso
aos arquivos nas filiais, voc deve configurar o BranchCache. Para reduzir o uso de WAN para a filial,
voc deve configurar o BranchCache para recuperar dados da matriz. Voc tambm implementar
o FSRM para ajudar a otimizar o armazenamento de arquivo.

Objetivos

Configurar os servidores da matriz para o BranchCache.

Configurar os servidores das filiais para o BranchCache.

Configurar computadores cliente para o BranchCache.

Monitorar o BranchCache.

Configurao do laboratrio
Tempo previsto: 40 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

Repita as etapas 2 a 4 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.

2-33

2-34 Implementao de servios de arquivo avanados

Exerccio 1: Configurao dos servidores da matriz para o BranchCache


Cenrio
Antes de voc poder configurar o recurso BranchCache para suas filiais, deve configurar os componentes
de rede.
As principais tarefas deste exerccio so:
1.

Configurar o LON-DC1 para usar o Windows BranchCache.

2.

Simular um link lento filial.

3.

Habilitar um compartilhamento de arquivos para BranchCache.

4.

Configurar regras de firewall de cliente para BranchCache.

Tarefa 1: Configurar o LON-DC1 para usar o Windows BranchCache


1.

Alterne para LON-DC1.

2.

Abra o Gerenciador de Servidor e instale o servio de funo BranchCache para arquivos de rede.

3.

Abra o Editor de Poltica de Grupo Local (gpedit.msc).

4.

Navegue para e abra Configurao do Computador/Modelos Administrativos/Rede/


Servidor Lanman/Publicao de Hash para BranchCache.

5.

Habilite a configurao BranchCache e selecione Permitir publicao de hash somente para pastas
compartilhadas nas quais o BranchCache estiver habilitado.

Tarefa 2: Simular um link lento filial


1.

No console Editor de Poltica de Grupo Local, navegue at Configurao do Computador\


Configuraes do Windows\QoS baseada em Poltica.

2.

Crie uma nova poltica com as seguintes configuraes:


o

Nome: Limitar a 100 Kbps

Especifique a taxa de acelerao de sada: 100

Aceite os valores padro em outras pginas de assistente

Tarefa 3: Habilitar um compartilhamento de arquivos para BranchCache


1.

Em uma janela do Explorador de Arquivos, crie uma nova pasta chamada C:\Share.

2.

Compartilhe essa pasta com as seguintes propriedades:

3.

Nome do compartilhamento: Share

Permisses: padro

Cache: Habilitar o BranchCache

Copie C:\Windows\System32\mspaint.exe para a pasta C:\Compartilhar.

Tarefa 4: Configurar regras de firewall de cliente para BranchCache


1.

Em LON-DC1, abra Gerenciamento de Poltica de Grupo.

2.

Navegue para Floresta: Adatum.com\Domains\Adatum.com\Default Domain Policy


e abra a poltica para editar.

Configurao de servios avanados do Windows Server 2012

3.

Navegue para Configurao do Computador\Polticas\Configuraes do Windows\


Configuraes de Segurana\Firewall do Windows com Segurana Avanada\
Firewall do Windows com Segurana Avanada\Regras de entrada.

4.

Crie uma nova regra de firewall de entrada com as seguintes propriedades:

5.

6.

Tipo de regra: predefinidos

Usar BranchCache Recuperao de Contedo (Usa HTTP)

Ao: Permitir

2-35

Crie uma nova regra de firewall de entrada com as seguintes propriedades:


o

Tipo de regra: predefinidos

Usar BranchCache Descoberta no Par (Usa WSD)

Ao: Permitir

Feche o Editor de Gerenciamento de Poltica de Grupo e o console Gerenciamento de Poltica


de Grupo.

Resultados: No final deste exerccio, voc ter implantado o BranchCache, configurado um link lento
e habilitado o BranchCache em um compartilhamento de arquivos.

Exerccio 2: Configurao dos servidores das filiais para o BranchCache


Cenrio
A prxima etapa que voc deve executar configurar um servidor de arquivos para o recurso
BranchCache. Voc instalar o recurso BranchCache, solicitar um certificado e vincul-lo ao BranchCache.
As principais tarefas deste exerccio so:
1.

Instalar o recurso BranchCache no LON-SVR1.

2.

Inicie o servidor host BranchCache.

Tarefa 1: Instalar o recurso BranchCache no LON-SVR1

Em LON- SVR1, no Gerenciador do Servidor, adicione o servio de funo BranchCache para


Arquivos de Rede e o recurso BranchCache.

Tarefa 2: Inicie o servidor host BranchCache


1.

Em LON-DC1, abra Usurios e Computadores do Active Directory e crie uma nova OU chamada
BranchCacheHost.

2.

Mova LON-SVR1 na OU BranchCacheHost.

3.

Abra o Gerenciamento de Poltica de Grupo e bloqueie a herana de GPO na OU do


BranchCacheHost.

4.

Reinicie LON-SVR1 e faa logon como Adatum\Administrador com a senha Pa$$w0rd.

5.

Em LON-SVR1, abra o Windows PowerShell e execute o seguinte cmdlet:


Enable-BCHostedServer
RegisterSCP

2-36 Implementao de servios de arquivo avanados

6.

Em LON-SVR1, no Windows PowerShell, execute o seguinte cmdlet:


Get-BCStatus

7.

Verifique se o BranchCache est habilitado e em execuo.

Resultados: Ao fim deste exerccio, voc ter habilitado o servidor BranchCache na filial.

Exerccio 3: Configurao de computadores cliente para o BranchCache


Cenrio
Depois de configurar os componentes de rede, voc deve assegurar que os computadores cliente
sejam configurados corretamente. Esta uma tarefa preparatria para usar o BranchCache.
As principais tarefas deste exerccio so:
1.

Configurar computadores cliente para usar o BranchCache em modo de cache hospedado.

Tarefa 1: Configurar computadores cliente para usar o BranchCache em modo


de cache hospedado
1.

Em LON-DC1, abra o Gerenciador do Servidor e abra Gerenciamento de Poltica de Grupo.

2.

Edite a Default Domain Policy.

3.

Na janela Editor de Gerenciamento da Poltica de Grupo, navegue para Configurao


do Computador\Polticas\Ferramentas Administrativas\Rede\BranchCache e configure
o seguinte:
a.

Ativar o BranchCache: Habilitada

b.

Habilitar Descoberta Automtica de Cache Hospedado atravs de Ponto de Conexo


do Servio: Habilitado

c.

Configurar o BranchCache para arquivos de rede: Habilitado

d.

Digite a latncia de rede de viagem de ida e volta mxima (milissegundos) depois da qual
o armazenamento em cache comea: 0

4.

Inicie 24412B-LON-CL1, abra uma janela de prompt de comando e atualize as configuraes


de Poltica de Grupo usando o comando gpupdate /force.

5.

No prompt de comando, digite netsh branchcache show status all e pressione Enter.

6.

Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas


as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 4 e 5.

7.

Inicie o 24412B-LON-CL2, abra a janela de prompt de comando e atualize as configuraes


de Poltica de Grupo usando o comando gpupdate /force.

8.

No prompt de comando, digite netsh branchcache show status all e pressione Enter.

9.

Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas


as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 7 e 8.

Resultados: No final deste exerccio, voc ter configurado os computadores cliente para o BranchCache.

Configurao de servios avanados do Windows Server 2012

2-37

Exerccio 4: Monitoramento do BranchCache


Cenrio
Finalmente, voc deve testar e verificar se o recurso BranchCache est funcionando como esperado.
As principais tarefas deste exerccio so:
1.

Configurar o Monitor de Desempenho no LON-SVR1.

2.

Configurar as estatsticas de desempenho no LON-CL1.

3.

Configurar as estatsticas de desempenho no LON-CL2.

4.

Testar o BranchCache no modo de cache hospedado.

Tarefa 1: Configurar o Monitor de Desempenho no LON-SVR1


1.

Em LON-SVR1, abra o Monitor de Desempenho.

2.

No console do Monitor de Desempenho, no painel de navegao, em Ferramentas de Monitorao,


clique em Desempenho do Sistema.

3.

Remova os contadores existentes, altere para uma visualizao de relatrio e adicione os contadores
de objeto BranchCache ao relatrio.

Tarefa 2: Configurar as estatsticas de desempenho no LON-CL1


1.

Alterne a LON-CL1 e abra o Desempenho do Sistema.

2.

No painel de navegao do console do Monitor de Desempenho, em Ferramentas de Monitorao,


clique em Desempenho do Sistema.

3.

No Desempenho do Sistema, remova os contadores existentes, altere para uma visualizao


de relatrio e adicione o objeto BranchCache ao relatrio.

Tarefa 3: Configurar as estatsticas de desempenho no LON-CL2


1.

Alterne a LON-CL2 e abra o Desempenho do Sistema.

2.

No console do Monitor de Desempenho, no painel de navegao, em Ferramentas de Monitorao,


clique em Desempenho do Sistema.

3.

No Desempenho do Sistema, remova os contadores existentes, altere para uma visualizao


de relatrio e adicione o objeto BranchCache ao relatrio.

Tarefa 4: Testar o BranchCache no modo de cache hospedado


1.

Alterne para LON-CL1.

2.

Abra \\LON-DC1.adatum.com\share, e copie mspaint.exe para a rea de trabalho local.


Isto poderia levar alguns minutos devido ao link lento simulado.

3.

Leia as estatsticas de desempenho no LON-CL1. Este arquivo foi recuperado do LON-DC1


(Recuperao: Bytes de servidor). Depois que o arquivo foi armazenado em cache localmente,
foi transmitido at o cache hospedado. (Recuperao: Bytes servidos).

4.

Alterne para LON-CL2.

5.

Abra \\LON-DC1.adatum.com\share, e copie mspaint.exe para a rea de trabalho local.


Isto no deve levar muito tempo, pois o arquivo est armazenado em cache.

2-38 Implementao de servios de arquivo avanados

6.

Leia as estatsticas de desempenho no LON-CL2. Este arquivo foi obtido do cache hospedado
(Recuperao: Bytes do Cache

7.

Leia as estatsticas de desempenho no LON-SVR1. Este servidor ofereceu dados armazenados


em cache a clientes (Cache Hospedado: ofertas de segmento de arquivo de cliente feitas).

Resultados: Ao fim deste exerccio, voc ter verificado se o BranchCache est funcionando
como esperado.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.

Configurao de servios avanados do Windows Server 2012

2-39

Reviso e informaes complementares do mdulo


Prtica recomendada:

Ao considerar uma soluo de armazenamento iSCSI para sua organizao, gaste a maioria do tempo
no processo de design. O processo de design crucial porque permite otimizar a soluo para todas
as tecnologias que usaro o armazenamento iSCSI, como servios de arquivo, Exchange Server e
SQL Server. O design tambm deve acomodar o crescimento futuro dos dados comerciais de suas
organizaes. Bons processos de design garantem uma implantao com xito da soluo que
satisfar os requisitos comerciais de sua organizao.

Ao planejar a implantao do BranchCache, trabalhe de perto com seus administradores de rede


para otimizar o trfego de rede pela WAN.

Ao planejar classificaes de arquivo, comece com os requisitos comerciais de sua organizao.


Identifique as classificaes que voc aplicar aos documentos e defina um mtodo que voc
usar para identificar documentos para classificao. Antes de voc implantar a infraestrutura de
classificao de arquivo, crie um ambiente de teste e teste os cenrios para garantir que sua soluo
resultar em uma implantao com xito, e que os requisitos comerciais de suas organizaes sero
satisfeitos.

Perguntas de reviso
Pergunta: Como o BranchCache difere do Sistema de Arquivos Distribudos?
Pergunta: Por que voc desejaria implementar o BranchCache em modo de cache
hospedado em vez de no modo de cache distribudo?
Pergunta: Voc pode configurar Eliminao de duplicao de dados em um volume
de inicializao?
Pergunta: Por que voc implementaria uma infraestrutura de classificao de arquivo?

Problemas e cenrios reais


Pergunta: Sua organizao est pensando em implantar uma soluo iSCSI. Voc um
administrador do Windows Server 2012 responsvel por criar e implantar a nova soluo.
Essa nova soluo ser usada por um tipo diferente de tecnologias, como o servidor de
arquivos Windows Server 2012, o Exchange Server e o SQL Server. Voc est enfrentando
um desafio de criar uma soluo iSCSI ideal, mas, ao mesmo tempo, voc no sabe ao
certo se a soluo que vai propor para sua organizao satisfar os requisitos de todas
as tecnologias que acessaro o armazenamento iSCSI. O que fazer?
Pergunta: Sua organizao est pensando em implantar uma soluo BranchCache. Voc
um administrador do Windows Server 2012 em sua organizao responsvel por criar e
implantar a nova soluo. Os gerenciadores comerciais da organizao esto preocupados
com a segurana dos dados que sero armazenados nas filiais. Eles tambm esto
preocupados sobre como a organizao eliminar riscos de segurana como falsificao
de dados, revelao de informaes e ataques de negao de servio. O que fazer?
Pergunta: Sua organizao est usando grandes quantidades de espao em disco para
armazenamento de dados e est enfrentando um desafio de organizar e gerenciar os dados.
Alm disso, sua organizao deve satisfazer requisitos de segurana, conformidade e
preveno de vazamento de dados das informaes confidenciais da empresa. O que fazer?

2-40 Implementao de servios de arquivo avanados

Ferramentas
Ferramenta

Uso

Onde encontrar

Servidor de destino iSCSI

Configurar destinos iSCSI

Em Gerenciador do Servidor,
em Servidores de Arquivo
e Armazenamento

Iniciador iSCSI

Configure um cliente para conectar


a um disco virtual de destino iSCSI

Em Gerenciador do Servidor,
na caixa de listagem suspensa
Ferramentas

Ferramenta Avaliao de
Eliminao de Duplicao
(DDPEval.exe)

Analise um volume para descobrir


as economias em potencial ao
habilitar Eliminao de duplicao
de dados

C:\windows\system32

Gerenciador de Recursos
de Servidor de Arquivos

Um conjunto de recursos que


permitem gerenciar e classificar
dados que so armazenados em
servidores de arquivos

Gerenciador do Servidor

3-1

Mdulo 3
Implementao do Controle de Acesso Dinmico
Contedo:
Viso geral do mdulo

3-1

Lio 1: Viso geral do Controle de Acesso Dinmico

3-2

Lio 2: Planejamento do Controle de Acesso Dinmico

3-9

Lio 3: Implantao do Controle de Acesso Dinmico

3-14

Laboratrio: Implementao do Controle de Acesso Dinmico

3-25

Reviso e informaes complementares do mdulo

3-35

Viso geral do mdulo


O sistema operacional Windows Server 2012 apresenta um novo recurso para aprimorar o controle
de acesso para recursos baseados em arquivos e em pastas. Esse recurso, chamado Controle de Acesso
Dinmico, estende o controle de acesso baseado no sistema de arquivos NTFS normal, permitindo que
os administradores usem declaraes, propriedades de recursos, polticas e expresses condicionais para
gerenciar o acesso. Neste mdulo, voc aprender sobre o Controle de Acesso Dinmico, como planej-lo
e como implement-lo.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever o Controle de Acesso Dinmico e seus componentes.

Planejar a implementao do Controle de Acesso Dinmico.

Implementar o Controle de Acesso Dinmico.

3-2

Implementao do Controle de Acesso Dinmico

Lio 1

Viso geral do Controle de Acesso Dinmico


O Controle de Acesso Dinmico um novo recurso do Windows Server 2012 que pode ser usado para
o gerenciamento de acesso. O Controle de Acesso Dinmico oferece uma nova maneira de proteger e
controlar o acesso a recursos. Antes de implementar esse recurso, voc deve entender como ele funciona
e quais componentes ele usa. Esta lio apresenta uma viso geral do Controle de Acesso Dinmico.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Definir o Controle de Acesso Dinmico.

Descrever as tecnologias de base do Controle de Acesso Dinmico.

Comparar o Controle de Acesso Dinmico com tecnologias alternativa e semelhantes,


como permisses NTFS e o AD RMS (Active Directory Rights Management Services).

Definir identidade.

Definir declaraes e tipos de declarao.

Definir uma poltica de acesso central.

O que o Controle de Acesso Dinmico?


Normalmente, a maioria das organizaes
armazena seus dados em servidores de arquivos.
Assim, os administradores de TI devem fornecer
segurana e controle de acesso apropriados para
os recursos de servidor de arquivos. Em verses
anteriores do Windows Server, os administradores
de TI controlavam a maior parte do acesso
a recursos de servidor de arquivos usando
permisses NTFS e listas de controle de acesso.
O Controle de Acesso Dinmico no
Windows Server 2012 um novo mecanismo
de controle de acesso para recursos de sistema
de arquivos. Ele permite que os administradores definam polticas de acesso central a arquivos
que podem se aplicar a cada servidor de arquivos na organizao. O Controle de Acesso
Dinmico implementa uma rede de segurana sobre os servidores de arquivos e sobre todos os
compartilhamentos e permisses NTFS existentes. Ele tambm assegura que, independentemente
de como o compartilhamento e as permisses NTFS sejam alterados, essa poltica de substituio
central seja imposta. O Controle de Acesso Dinmico combina vrios critrios na deciso de acesso.
Isto aumenta a ACL (lista de controle de acesso) NTFS de forma que os usurios precisam atender
ACL NTFS e poltica de acesso central para obter acesso ao arquivo.
O Controle de Acesso Dinmico fornece uma forma flexvel de aplicar e gerenciar o acesso e a auditoria
a servidores de arquivos baseados em domnio. O Controle de Acesso Dinmico usa declaraes no
token de autenticao, propriedades de recursos no recurso e expresses condicionais em entradas
de permisso e auditoria. Com essa combinao de recursos, voc pode agora conceder acesso
a arquivos e pastas com base em atributos do AD DS (Servios de Domnio do Active Directory).

Configurao de servios avanados do Windows Server 2012

3-3

O Controle de Acesso Dinmico oferece:

Classificao de dados. Voc pode usar a classificao automtica e manual de arquivos para marcar
dados em servidores de arquivos em toda a organizao.

Controla de acesso a arquivos. As polticas de acesso central permitem que as organizaes definam,
por exemplo, quem pode acessar informaes de integridade do sistema em uma organizao.

Auditoria de acesso a arquivos. Voc pode usar polticas de auditoria centrais para obter relatrios
de conformidade e anlise forense. Por exemplo, possvel identificar quem acessou informaes
altamente confidenciais.

Integrao de proteo RMS opcional. Voc pode usar a criptografia RMS para documentos
confidenciais do Microsoft Office. Por exemplo, voc pode configurar o RMS para criptografar
todos os documentos que contm informaes sobre a HIPAA (Health Insurance Portability
and Accountability Act).

O Controle de Acesso Dinmico foi criado para quatro cenrios:

Polcia de acesso central para acesso a arquivos. Permite que as organizaes definam polticas
globais de segurana que refletem a conformidade de negcios e regulatria.

Auditoria de conformidade e anlise. Permite a auditoria direcionada em servidores de arquivos


para relatrios de conformidade e anlise forense.

Proteo de informaes confidenciais. Identifica e protege informaes confidenciais em


um ambiente Windows Server 2012 e tambm quando elas saem desse ambiente.

Correo de acesso negado. Melhora a experincia de acesso negado para reduzir a carga sobre
a assistncia tcnica e o tempo para soluo de problemas de incidentes.

Tecnologias de base do Controle de Acesso Dinmico


O Controle de Acesso Dinmico combina
muitas tecnologias do Windows Server 2012
para fornecer uma experincia de autorizao
e auditoria flexvel e granular. O Controle de
Acesso Dinmico usa as seguintes tecnologias:

AD DS e suas tecnologias dependentes


para o gerenciamento da rede corporativa.

Protocolo Kerberos verso 5 (V5), incluindo


identidade composta para autenticao
segura.

Segurana do Windows (LSA (autoridade


de segurana local), servio de logon de rede) para transaes de logon seguras.

Classificaes de arquivos para a categorizao de arquivos.

Auditoria para monitoramento seguro e responsabilidade.

RMS para proteo adicional.

3-4

Implementao do Controle de Acesso Dinmico

Vrios componentes e tecnologias foram atualizados no Windows Server 2012 para dar suporte
ao Controle de Acesso Dinmico. As atualizaes mais importantes so:

Um novo mecanismo de autorizao e auditoria do Windows que pode processar expresses


condicionais e polticas centrais.

Suporte autenticao Kerberos para declaraes de usurios e dispositivos.

Aprimoramentos na infraestrutura de classificao de arquivos.

Suporte opcional extensibilidade de RMS para que parceiros possam fornecer solues
de criptografia de arquivos que no so do Microsoft Office.

Controle de Acesso Dinmico x tecnologias de permisses alternativas


O Controle de Acesso Dinmico controla
o acesso a recursos baseados em arquivo.
Ele estende a funcionalidade de tecnologias
mais antigas para controlar o acesso
a recursos baseados em arquivo.
Em verses anteriores do Windows Server,
o mecanismo bsico de controle de acesso
a arquivos e pastas eram as permisses
NTFS. Usando permisses NTFS e suas ACLs,
os administradores podem controlar o acesso
a recursos com base em SIDs (identificadores
de segurana) de nome de usurio ou de
associao a um grupo, alm do nvel de acesso, como Somente Leitura, Alterao e Controle Total.
Porm, por exemplo, depois que voc concede acesso Somente Leitura a um documento para uma
pessoa, no pode impedir que essa pessoa copie o contedo desse documento para um novo documento
ou o imprima.
Com a implementao do AD RMS, voc pode estabelecer um nvel adicional de controle de arquivos.
Diferente das permisses NTFS, que no reconhecem aplicativos, o AD RMS define uma poltica que
pode controlar o acesso a documentos dentro do aplicativo que o usurio usa para abri-los. Com
a implementao do AD RMS, voc permite que os usurios protejam documentos nos aplicativos.
Ao usar sistemas operacionais cliente Windows anteriores ao Windows 8, voc no pode definir acesso
condicional a arquivos usando o NTFS e o AD RMS. Por exemplo, no possvel definir permisses
NTFS para que os usurios possam acessar documentos se forem membros de um grupo especfico
ou se seus atributos EmployeeType forem definidos como FTE (Funcionrio de Tempo Integral).
Alm disso, voc no pode definir permisses de forma que apenas os usurios que tm um atributo
departamento preenchido com mesmo valor do atributo departamento do recurso possam acessar
o contedo. No entanto, possvel usar expresses condicionais para realizar essas tarefas. Voc pode
usar o Controle de Acesso Dinmico para contar valores de atributo em objetos de usurios ou recursos
ao conceder ou negar acesso.

Configurao de servios avanados do Windows Server 2012

3-5

O que identidade?
Em geral, a identidade definida como um
conjunto de dados que descrevem de maneira
exclusiva uma pessoa ou uma coisa (s vezes
chamada de assunto ou entidade) e contm
informaes sobre as relaes do assunto com
outras entidades. A identidade normalmente
verificada usando uma fonte de informaes
confivel.
Por exemplo, quando voc vai para o
aeroporto, mostra seu passaporte. Seu
passaporte contm seu nome, endereo,
data de nascimento e fotografia. Cada item
de informao pessoal uma declarao sobre voc pelo pas que emitiu seu passaporte. Seu pas
assegura que as informaes que publica em um passaporte so precisas para o proprietrio do
passaporte. Como normalmente voc usa o passaporte fora de seu pas de residncia, outros pases
tambm devem confiar nas informaes de seu passaporte. Eles devem confiar na organizao que
emitiu seu passaporte e consider-lo confivel. Com base nessa confiana, outros pases lhe do acesso
a seus territrios (que podem ser considerado recursos). Portanto, neste exemplo, para acessar recursos
em outros pases, cada pessoa precisa ter um documento (passaporte) que emitido por uma fonte
confivel e que contm declaraes fundamentais que descrevem a pessoa.
O sistema operacional Windows Server 2012 usa um conceito de identidade semelhante. Um
administrador cria uma conta de usurio no AD DS para uma pessoa. O controlador de domnio publica
as informaes de conta do usurio, como um identificador de segurana e atributos de associao
a um grupo. Quando um usurio acessa um recurso, o Windows Server cria um token de autorizao.
Para continuar com a analogia da viagem para o exterior, voc o usurio e o token de autenticao
o passaporte. Cada informao exclusiva no token de autenticao uma declarao feita sobre sua
conta de usurio. Os controladores de domnio publicam e assinam essas declaraes. Os computadores
que pertencem a domnios e os usurios de domnios confiam nas informaes de autorizao fornecidas
por controladores de domnio.
Podemos dizer ento que a identidade, em relao autenticao e autorizao, consiste em
informaes fornecidas sobre uma entidade por uma fonte confivel. Alm disso, as informaes
so consideradas autorizadas porque sua origem confivel.

3-6

Implementao do Controle de Acesso Dinmico

Verses anteriores do Windows Server usavam as SIDs e os grupos de segurana para representar a
identidade de um usurio ou computador. Os usurios so autenticados no domnio com um nome
de usurio e uma senha especficos. O nome de logon exclusivo convertido na SID. O controlador
de domnio valida a senha e fornece um token com a SID da entidade de segurana e as SIDs de todos
os grupos dos quais a entidade membro. O controlador de domnio declara que a SID do usurio
vlida e que deve ser usada como identidade do usurio. Todos os membros do domnio confiam
em seu controlador de domnio; portanto, a resposta tratada como uma autorizao.
A identidade no limitada SID do usurio. Os aplicativos podem usar qualquer informao sobre o
usurio como forma de identidade, se o aplicativo confiar que a origem das informaes autorizada.
Por exemplo, muitos aplicativos implementam o RBAC (controle de acesso baseado em funo).
O RBAC limita o acesso a recursos dependendo do usurio ser membro de uma funo especfica.
O Microsoft SharePoint Server um bom exemplo de software que implementa a segurana baseada
em funes. O Windows Server 2012 tambm pode tirar proveito dessas opes para estender
e aprimorar o modo como a identidade determinada para uma entidade de segurana.

O que uma declarao?


O Windows Server 2008 e o Windows Server 2003
usam declaraes no AD FS (Servios de
Federao do Active Directory). Nesse contexto,
declaraes so afirmaes feitas sobre usurios
por exemplo, nome, identidade, chave, grupo,
privilgio ou recurso que so entendidas pelos
parceiros em uma federao do AD FS. O AD FS
tambm fornece declaraes baseadas no AD DS
e a capacidade de converter os dados dessas
declaraes para o formato SAML. Em verses
anteriores DO AD FS, os nicos atributos
que poderiam ser recuperados do AD DS
e incorporados diretamente em uma declarao eram informaes de SID de contas de usurio e
de grupo. Todas as outras informaes de declaraes eram definidas e referenciadas em um banco
de dados separado, conhecido como um repositrio de atributos. Agora o Windows Server 2012 permite
ler e usar qualquer atributo diretamente do AD DS. Voc no precisa usar um repositrio de atributos
do AD FS separado para armazenar esse tipo de informaes de contas de usurios ou de computadores
baseados no Active Directory.
Por definio, uma declarao algo que o AD DS afirma sobre um objeto especfico (em geral, um
usurio ou computador). Uma declarao fornece informaes da fonte confivel sobre uma entidade.
Alguns exemplos de declaraes so o departamento do usurio, a liberao de segurana do usurio
e o estado de integridade do computador. Todas estas declaraes informam algo sobre um objeto
especfico.
Normalmente, uma entidade contm mais de uma declarao. Ao configurar o acesso a recursos,
pode ser usada qualquer combinao de declaraes para autorizar o acesso aos recursos.
No Windows Server 2012, o mecanismo de autorizao estendido para dar suporte expresses
condicionais. Agora voc pode usar declaraes de usurios e dispositivos para a autorizao de
arquivos e pastas, alm de permisses NTFS, que so baseadas na SID de usurio ou de grupo. Ao
usar declaraes, agora voc pode basear sua deciso de controle de acesso na SID e nos valores
de outros atributos. Observe que o Windows Server 2012 ainda d suporte ao uso de associao
a grupos para as decises de autorizao.

Configurao de servios avanados do Windows Server 2012

Declaraes de usurios
Uma declarao de usurio consiste em informaes sobre um usurio fornecidas por um controlador
de domnio do Windows Server 2012. Os controladores de domnio do Windows Server 2012 podem
usar a maioria dos atributos de usurio do AD DS como informaes de declarao. Isto d aos
administradores uma ampla variedade de possibilidades para configurar e usar declaraes
para o controle de acesso.

Declaraes de dispositivos
Uma declarao de dispositivo que muitas vezes chamada de declarao de computador
consiste em informaes fornecidas por um controlador de domnio do Windows Server 2012 sobre
um dispositivo que representado por uma conta de computador no AD DS. Da mesma forma
que as declaraes de usurios, as declaraes de dispositivos podem usar a maioria dos atributos
do AD DS que se aplicam a objetos de computador.

O que uma poltica de acesso central?


Um dos componentes fundamentais do Controle
de Acesso Dinmico a poltica de acesso central.
Esse recurso do Windows Server 2012 permite
que os administradores criem polticas podem
ser aplicadas a um ou mais servidores de arquivos.
Voc cria polticas na Central Administrativa
do Active Directory, que as armazena no AD DS;
depois, voc as aplica usando a Poltica de Grupo.
A poltica de acesso central contm uma ou mais
regras. Cada regra contm configuraes que
determinam sua aplicabilidade e suas permisses.
Antes de criar uma poltica de acesso central, voc
deve criar pelo menos uma regra de acesso central. As regras de acesso central definem
todos os parmetros e condies que controlam o acesso a recursos especficos.
Uma regra de acesso central tem trs partes configurveis:

Nome. Para cada regra de acesso central, voc deve configurar um nome descritivo.

Recurso de destino. Essa uma condio que define a quais dados a poltica se aplica. Voc define
uma condio especificando um atributo e seu valor. Por exemplo, uma regra de poltica central
especfica pode se aplicar a todos os dados que voc classificar como confidenciais.

Permisses. Esta uma lista de uma ou mais ACEs (entradas de controle de acesso) que definem
quem pode acessar os dados. Por exemplo, voc pode especificar o acesso Controle Total a
um usurio com o atributo EmployeeType definido como FTE (funcionrio de tempo integral).
Esse o principal componente de cada regra de acesso central. Voc pode combinar e agrupar
as condies que coloca na regra de acesso central. possvel definir as permisses como
propostas (para fins de preparao) ou atuais.

3-7

3-8

Implementao do Controle de Acesso Dinmico

Voc pode pensar na regra de acesso central como representante de um requisito de negcios que
descreve quem pode acessar um conjunto especfico de informaes; por exemplo, informaes
confidenciais.
Depois que voc configurar uma ou mais regras de acesso central, adicione-as poltica de acesso
central, que ento aplicada aos recursos.
A poltica de acesso central aprimora, mas no substitui as polticas de acesso locais ou as DACLs (listas
de controle de acesso discricionrio) que so aplicadas a arquivos e pastas em um servidor especfico.
Por exemplo, se uma DACL em um arquivo permite o acesso de um usurio especfico, mas uma poltica
de acesso central que se aplica ao arquivo restringe o acesso do mesmo usurio, ele no poder ter
acesso ao arquivo. Da mesma forma, se a poltica de acesso central permitir, mas a DACL no permitir
o acesso, o usurio no poder acessar o arquivo.
Antes de implementar a poltica de acesso central, execute estas etapas:
1.

Crie uma declarao e a conecte a usurios ou a objetos de computador usando atributos.

2.

Crie as definies de propriedade do arquivo.

3.

Crie uma ou mais regras de acesso central.

4.

Crie um objeto de Poltica de Acesso Central e defina suas configuraes.

5.

Use a Poltica de Grupo para implantar a poltica em servidores de arquivos. Ao fazer isso, voc
informa os servidores de arquivos sobre a existncia de uma poltica de acesso central no AD DS.

6.

No servidor de arquivos, aplique essa poltica a uma pasta compartilhada especfica.

Voc tambm pode usar o Kit de Ferramentas de Classificao de Dados para aplicar automaticamente
polticas de acesso central em vrios servidores de arquivos e relatar quais polticas so aplicadas em
quais compartilhamentos.

Configurao de servios avanados do Windows Server 2012

Lio 2

Planejamento do Controle de Acesso Dinmico


O Controle de Acesso Dinmico exige um planejamento detalhado antes da implementao. Voc
deve identificar os motivos para sua organizao implementar o Controle de Acesso Dinmico e
planejar a poltica de acesso central, classificaes de arquivos, auditoria e assistncia de acesso
negado. Nesta lio, voc aprender sobre o planejamento do Controle de Acesso Dinmico.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever os motivos para implementar o Controle de Acesso Dinmico.

Planejar uma poltica de acesso central.

Planejar classificaes de arquivos.

Planejar a auditoria de acesso a arquivos.

Planejar a Assistncia para Acesso Negado.

Motivos para implementar o Controle de Acesso Dinmico


Antes de implementar o Controle de Acesso
Dinmico, voc deve identificar claramente
os motivos para sua organizao usar esse
recurso. O Controle de Acesso Dinmico
deve ser projetado com ateno antes da
implementao. Uma implementao planejada
de modo inadequado pode fazer o acesso de
alguns usurios a dados necessrios ser negado,
enquanto concedido acesso a dados restritos
para outros usurios.
Os motivos mais comuns para implementar
o Controle de Acesso Dinmico so reduzir
a complexidade do grupo de segurana, obedecer regulamentos de conformidade e proteger
informaes confidenciais. Alm disso, com o DAC, voc pode estender a funcionalidade de um
modelo de controle de acesso existente. A maioria das organizaes usa o NTFS e permisses de
compartilhamento para implementar o controle de acesso a recursos de arquivo e pasta. Na maioria
dos casos, o NFTS suficiente, mas, em alguns cenrios, no funcionar. Por exemplo, voc no pode
usar a ACL do NFTS para proteger um recurso em um servidor de arquivos, o que significa que um
usurio deve ser membro de dois grupos ao mesmo tempo para acessar o recurso. Voc deve usar o
Controle de Acesso Dinmico em vez de mtodos tradicionais para implementar o controle de acesso
quando desejar usar informaes mais especficas para fins de autorizao. O NTFS e as permisses
de compartilhamento usam apenas objetos de grupo ou usurio.

3-9

3-10 Implementao do Controle de Acesso Dinmico

Planejamento de uma poltica de acesso central


A implementao da poltica de acesso central
no obrigatrio para o Controle de Acesso
Dinmico. Porm, para a configurao consistente
do controle de acesso em todos os servidores
de arquivos, voc deve implementar pelo menos
uma poltica de acesso central. Ao fazer isso, voc
permite que todos os servidores de arquivos
em um escopo especfico usem uma poltica
de acesso central ao proteger o contedo
em pastas compartilhadas.
Antes de implementar uma poltica de acesso
central, crie um plano detalhado, como
o seguinte:
1.

Identifique os recursos que voc deseja proteger. Se todos esses recursos estiverem em um servidor
de arquivos ou em apenas uma pasta, talvez no seja necessrio implementar uma poltica de acesso
central. Em vez disso, voc pode configurar o acesso condicional na ACL da pasta. Porm, se os
recursos estiverem distribudos em vrios servidores ou vrias pastas, voc poder se beneficiar com
a implantao de uma poltica de acesso central. Os dados que poderiam exigir proteo adicional
podem incluir registros de folha de pagamento, dados de histrico mdico, informaes pessoais
de funcionrios e listas de clientes da empresa. Voc tambm pode usar o direcionamento nas
regras de acesso central para identificar recursos aos quais deseja aplicar a poltica de acesso central.

2.

Defina as polticas de autorizao. Em geral, essas polticas so definidas a partir de seus requisitos
comerciais. Veja alguns exemplos:
o

Todos os documentos que tm a confidencialidade de propriedade definida como alta devem


estar disponveis somente para gerentes.

Os documentos de marketing de cada pas devem ser gravveis somente para o pessoal
de marketing do mesmo pas.

Apenas funcionrios de tempo integral devem poder acessar a documentao tcnica


de projetos anteriores.

3.

Converta as polticas de autorizao exigidas em expresses. No caso do Controle de Acesso


Dinmico, as expresses so atributos associados aos recursos (arquivos e pastas) e ao usurio ou
dispositivo que busca acesso aos recursos. Essas expresses declaram os requisitos de identificao
adicionais que devem ser atendidos para acessar os dados protegidos. Os valores associados a
qualquer expresso no recurso obrigam o usurio ou dispositivo a produzir o mesmo valor.

4.

Em seguida, voc deve dividir as expresses que criou e determinar quais tipos de declarao,
grupos de segurana, propriedades de recursos e declaraes de dispositivos voc deve criar
para implantar suas polticas. Em outras palavras, voc deve identificar os atributos para
a filtragem de acesso.

Observao: No necessrio usar declaraes de usurios para implantar polticas de


acesso central. Voc pode usar grupos de segurana para representar identidades de usurio.
recomendvel comear com grupos de segurana, pois isso simplifica os requisitos
de implantao iniciais.

Configurao de servios avanados do Windows Server 2012

3-11

Planejamento de classificaes de arquivos


Ao planejar a implementao do Controle de
Acesso Dinmico, voc deve incluir classificaes
de arquivos. Embora as classificaes de arquivos
no sejam obrigatrias para o Controle de Acesso
Dinmico, elas podem aprimorar a automao
de todo o processo. Por exemplo, se voc exigir
que todos os documentos classificados como
Confidencialidade: Alta estejam acessveis
somente para a diretoria, independentemente do
servidor no qual eles se encontram, pergunte-se
como voc identificaria esses documentos e como
os classificaria adequadamente.
A infraestrutura de classificao de arquivos usa a classificao baseada em local como Para esta
estrutura de pastas a Confidencialidade Alta e regras de classificao automtica para verificar
arquivos automaticamente e ento classific-los de acordo com seu contedo. As propriedades de
Classificao e Recurso so definidas centralmente no AD DS de forma que essas definies possam
ser compartilhadas entre servidores de arquivos na organizao. Voc pode criar regras de classificao
que verificam nos arquivos uma cadeia de caracteres padro ou que corresponda a um padro
(expresso regular). Quando um padro de classificao configurado localizado em um arquivo,
esse arquivo classificado como configurado na regra de classificao.
Ao planejar classificaes de arquivos, faa o seguinte:

Identifique qual classificao ou quais classificaes voc deseja se aplicar aos documentos.

Determine o mtodo que voc usar para identificar os documentos para classificao.

Defina a agenda de classificaes automticas.

Estabelea revises peridicas para determinar o xito das classificaes.

Voc configura as classificaes de arquivos no console do Gerenciador de Recursos de Servidor


de Arquivos.
Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitiro controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.

Planejamento da auditoria de acesso a arquivos


No Windows Server 2008 R2 e no
Windows Server 2012, voc pode usar polticas
de auditoria avanadas para implementar uma
auditoria do sistema de arquivos detalhada
e mais precisa. No Windows Server 2012,
voc tambm pode implementar a auditoria
juntamente com o Controle de Acesso Dinmico
para utilizar as novas funcionalidades de auditoria
de segurana do Windows. Usando expresses
condicionais, possvel configurar a auditoria de
forma que ela ocorra apenas em casos especficos.

3-12 Implementao do Controle de Acesso Dinmico

Por exemplo, voc pode desejar auditar tentativas de abrir pastas compartilhadas por usurios em pases
diferentes do pas onde a pasta compartilhada est localizada. Isso obtido por meio da implementao
de permisses propostas nas regras de acesso central.
Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs (listas de
controle de acesso do sistema) do computador de acordo com o tipo de objeto do sistema de arquivos
ou do Registro. O SACL especificado ento aplicado automaticamente a cada objeto desse tipo. Voc
pode usar uma poltica de Auditoria de Acesso a Objetos Globais para impor a poltica de Auditoria
de Acesso a Objetos para um computador, um compartilhamento de arquivos ou o Registro, sem
configurar e propagar SACLs convencionais. Configurar e propagar uma SACL fazem parte de uma
tarefa administrativa complexa que difcil verificar, especialmente se voc precisa confirmar para
um auditor que uma poltica de segurana est sendo imposta.
Observao: Os auditores podem verificar se cada recurso no sistema est protegido
por uma poltica de auditoria exibindo o contedo da configurao da poltica de Auditoria
de Acesso a Objetos Globais.
As SACLs de recursos tambm so teis para cenrios de diagnstico. Por exemplo, a definio de uma
poltica de Auditoria de Acesso a Objetos Globais para registrar em log toda a atividade de um usurio
especfico e a habilitao das polticas de auditoria de Falhas de Acesso em um recurso como um sistema
de arquivos ou Registro podem ajudar os administradores a identificar rapidamente qual objeto em um
sistema est negando o acesso de um usurio.
Antes de implementar a auditoria, voc deve preparar um plano de auditoria. No plano de auditoria,
voc deveria identificar os recursos, os usurios e as atividades que deseja acompanhar. Voc pode
implementar a auditoria para vrios cenrios, como:

Acompanhamento de alteraes de atributos de usurios e computadores. Da mesma forma que


com arquivos, os objetos de usurios e computadores podem ter atributos e sua alterao pode
afetar o acesso dos usurios a arquivos. Portanto, pode ser til acompanhar as alteraes de atributos
de usurios ou computadores. Os objetos de usurios e computadores so armazenados no AD DS,
o que significa que voc pode acompanhar seus atributos usando a auditoria do Acesso ao Servio
de Diretrios.

Obteno de mais informaes de eventos de logon do usurio. No Windows Server 2012, um evento
de logon de usurio (evento 4624) contm informaes sobre o usurio que entrou no computador.
Voc pode exibir essas informaes adicionais usando as ferramentas de gerenciamento do log de
auditoria para correlacionar eventos de logon do usurio e eventos de acesso a objetos, e habilitando
a filtragem de eventos com base em atributos do arquivo e do usurio.

Fornecendo mais informaes de auditoria de acesso a objetos. No Windows Server 2012, agora os
eventos de acesso a arquivos 4656 e 4663 contm informaes sobre os atributos do arquivo que
foi acessado. As ferramentas de filtragem do log de eventos podem usar essas informaes adicionais
para ajudar a identificar os eventos de auditoria mais relevantes.

Configurao de servios avanados do Windows Server 2012

3-13

Acompanhamento de alteraes de polticas de acesso central, regras de acesso central e declaraes.


Como esses objetos so armazenados no AD DS, voc pode audit-los da mesma maneira que faria
com qualquer outro objeto protegvel no AD DS, usando a auditoria do Acesso ao Servio de
Diretrios.

Acompanhamento de alteraes de atributos do arquivo. Os atributos do arquivo determinam


qual poltica de acesso central se aplica ao arquivo. Uma alterao nos atributos do arquivo pode
possivelmente afetar as restries de acesso do arquivo. Voc pode acompanhar as alteraes de
atributos do arquivo em qualquer computador, configurando a auditoria de Alterao na Poltica
de Autorizao e a auditoria de Acesso a Objeto de sistemas de arquivos. O evento 4911
introduzido no Windows Server 2012 para diferenciar esse evento de outros eventos
de alterao de poltica de Autorizao.

Planejamento da Assistncia para Acesso Negado


A Assistncia para Acesso Negado, um recurso
no sistema operacional Windows 8, ajuda
os usurios finais a determinar por que eles
no podem acessar um recurso. Ele tambm
permite que a equipe de TI diagnostique um
problema corretamente e direcione a resoluo.
O Windows Server 2012 permite personalizar
mensagens sobre acesso negado e proporciona
aos usurios a capacidade de solicitar acesso
sem entrar em contato com o suporte tcnico
ou a equipe de TI. Em combinao com o
Controle de Acesso Dinmico, a Assistncia para
Acesso Negado pode informar o administrador de arquivos sobre declaraes de usurios e recursos,
permitindo que o administrador tome decises com base em informaes sobre como ajustar polticas
ou corrigir atributos do usurio, por exemplo, se o departamento estivesse listado como "RH" em vez
de "Recursos humanos".
Observao: Apenas dispositivos com o Windows 8 do suporte Assistncia
para Acesso Negado.
Ao planejar a Assistncia para Acesso Negado, voc deve incluir o seguinte:

Defina as mensagens que os usurios recebero ao tentar acessar recursos para os quais no tm
direitos de acesso. A mensagem deve ser informal e fcil de entender.

Determine se os usurios devem poder enviar uma solicitao de acesso por email e, nesse caso,
configure opcionalmente o texto que ser adicionado a suas mensagens de email.

Determine os destinatrios das mensagens de email de solicitao de acesso. Voc pode escolher
enviar o email para proprietrios de pastas, administradores do servidor de arquivos ou qualquer
outro destinatrio especificado. As mensagens sempre devem ser direcionadas pessoa apropriada.
Se voc tiver uma ferramenta de suporte tcnico ou uma soluo de monitoramento que permita
mensagens de email, tambm poder direcionar essas mensagens para gerar solicitaes de usurio
automaticamente em sua soluo de suporte tcnico.

Decida sobre os sistemas operacionais de destino. A Assistncia para Acesso Negado funciona
somente com o Windows 8 ou o Windows Server 2012.

3-14 Implementao do Controle de Acesso Dinmico

Lio 3

Implantao do Controle de Acesso Dinmico


Para implantar o Controle de Acesso Dinmico, voc deve executar vrias etapas e configurar vrios
objetos. Nesta lio, voc aprender sobre a implementao e configurao do Controle de Acesso
Dinmico.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever os pr-requisitos para implementar o Controle de Acesso Dinmico.

Habilitar o suporte no AD DS para o Controle de Acesso Dinmico.

Implementar declaraes e objetos de propriedade de recursos.

Implementar regras de acesso central e polticas.

Implementar a auditoria de acesso a arquivos.

Implementar a Assistncia para Acesso Negado.

Implementar classificaes de arquivos.

Implementar alteraes da poltica de acesso central.

Pr-requisitos para implementar o Controle de Acesso Dinmico


Antes de implementar o Controle de
Acesso Dinmico, voc deve assegurar
que seus servidores atendam a determinados
pr-requisitos. A autorizao baseada em
declaraes exige a seguinte infraestrutura:

Windows Server 2012 com o recurso FSRM


(Gerenciador de Recursos de Servidor de
Arquivos) habilitado. Ele deve estar instalado
no servidor de arquivos que hospedar
os recursos que o Controle de Acesso
Dinmico proteger. O servidor de arquivos
que hospedar o compartilhamento deve ter
o Windows Server 2012 para poder ler as declaraes e os dados de autorizao de dispositivos de
um tquete Kerberos v5, converter as SIDs e as declaraes do tquete em um token de autenticao e
comparar os dados de autorizao no token com expresses condicionais no descritor de segurana.

Atualizao de esquema, ou pelo menos um controlador de domnio do Windows Server 2012


para armazenar as definies centrais de propriedades de recursos e polticas. No so necessrias
declaraes de usurios para grupos de segurana. Se voc usar declaraes de usurios, pelo menos
um controlador de domnio do Windows Server 2012 no domnio do usurio deve estar acessvel
para o servidor de arquivos de forma que o servidor de arquivos possa recuperar declaraes em
nome do usurio. Se voc usar declaraes de dispositivos, todos os controladores de domnio
no domnio do usurio e do dispositivo devero usar o sistema operacional Windows 8.
Observao: Apenas dispositivos com o Windows 8 usam declaraes de dispositivos.

Configurao de servios avanados do Windows Server 2012

3-15

O novo mecanismo de autorizao e auditoria exige extenses para o AD DS. Essas extenses compilam
o dicionrio de declaraes do Windows, que onde os sistemas operacionais Windows armazenam
declaraes para uma floresta do Active Directory. A autorizao de declaraes tambm depende
do KDC (Centro de Distribuio de Chaves Kerberos). O KDC do Windows Server 2012 contm os
aprimoramentos do Kerberos necessrios para transportar declaraes em um tquete Kerberos e a
identidade composta. O KDC do Windows Server 2012 tambm inclui um aprimoramento para dar
suporte poltica de proteo Kerberos. A poltica de proteo Kerberos uma implementao do Tnel
Seguro de Autenticao Flexvel, que fornece um canal protegido entre o cliente de Kerberos e o KDC.
Os pr-requisitos para usar declaraes so:

Se voc estiver usando declaraes em uma relao de confiana de floresta, dever ter controladores
de domnio do Windows Server 2012 em cada domnio.

Se voc estiver usando declaraes de dispositivos, dever ter um cliente Windows 8. Sistemas
operacionais Windows mais antigos no do suporte a declaraes de dispositivos.

Embora um controlador de domnio do Windows Server 2012 seja exigido ao usar declaraes de
usurios, no necessrio ter nvel funcional de floresta e um domnio Windows Server 2012, a menos
que voc deseje usar declaraes em uma relao de confiana de floresta. Isto significa que voc
tambm pode ter controladores de domnio no Windows Server 2008 e no Windows Server 2008 R2
com o nvel funcional de floresta localizado no Windows Server 2008.
Observao: A implementao do Controle de Acesso Dinmico em um ambiente
com vrias florestas tem requisitos de instalao adicionais.

Habilitao do suporte no AD DS para o Controle de Acesso Dinmico


Depois de cumprir os requisitos de software
para habilitar o suporte ao Controle de Acesso
Dinmico, voc deve habilitar o suporte a
declaraes para o KDC do Windows Server 2012.
O suporte Kerberos para o Controle de Acesso
Dinmico fornece um mecanismo para inclusive
declaraes de usurios e informaes de
autorizao de dispositivos em um token de
autenticao do Windows. Acesse as verificaes
realizadas com recursos (como arquivos ou
pastas), use essas informaes de autorizao
para confirmar sua identidade.
Voc deve usar primeiro a Poltica de Grupo para habilitar o AD DS para o Controle de Acesso Dinmico.
Como essa configurao especfica de controladores de domnio, voc pode criar um novo GPO (Objeto
de Poltica de Grupo) e depois vincular a configurao UO (unidade organizacional) Controladores
de Domnio ou editando o GPO Controladores de Domnio Padro que j est vinculado a essa UO.
Independentemente do mtodo que voc escolher, abra o Editor de Objeto de Poltica de Grupo,
expanda Configurao do Computador, expanda Polticas, expanda Modelos Administrativos,
expanda Sistema e expanda KDC. Nesse n, abra uma configurao chamada Suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.

3-16 Implementao do Controle de Acesso Dinmico

Para definir a configurao da poltica de Suporte ao Controle de Acesso Dinmico e poltica


de proteo Kerberos, escolha um das quatro opes listadas:

No dar suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos

Dar suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos

Sempre fornecer declaraes e comportamento FAST RFC

Tambm falhar solicitaes de autenticao desprotegidas

O suporte a declaraes e poltica de proteo Kerberos est desabilitado por padro, o que
equivalente a no configurar essa poltica ou a sua configurao como No dar suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.
A configurao da poltica de Suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos
configura o Controle de Acesso Dinmico e a poltica de proteo Kerberos em um ambiente misto
quando h uma mistura de controladores de domnio do Windows Server 2012 e controladores
de domnio que executam verses anteriores do Windows Server. Para habilitar as declaraes
de dispositivos, voc tambm deve habilitar declaraes para clientes Windows 8.
Voc usa as configuraes de poltica restantes quando todos os controladores de domnio forem
controladores de domnio do Windows Server 2012 e o nvel funcional do domnio estiver
configurado para o Windows Server 2012. A configurao das polticas Sempre fornecer declaraes
e comportamento FAST RFC e Tambm falhar solicitaes de autenticao desprotegidas habilitam
o Controle de Acesso Dinmico e a poltica de proteo Kerberos para o domnio. Porm, a ltima
configurao de poltica exige que toda a comunicao do TGS (Servio de Concesso de Tquetes) e do
servio de autenticao Kerberos use a poltica de proteo Kerberos. Os controladores de domnio do
Windows Server 2012 leem essa configurao, enquanto outros controladores de domnio a ignoram.

Implementao de declaraes e objetos de propriedade de recursos


Depois de habilitar o suporte ao Controle
de Acesso Dinmico no AD DS, voc deve
criar e configurar declaraes e objetos
de propriedade de recursos.

Criao e configurao de tipos


de declaraes
Para criar e configurar declaraes, voc
usa principalmente a Central Administrativa
do Active Directory. Voc usa a Central
Administrativa do Active Directory para criar
declaraes baseadas em atributo, que so
o tipo mais comum de declarao. No entanto,
voc tambm pode usar o mdulo do Active Directory para o Windows PowerShell para criar
declaraes baseadas em certificado. Todas as declaraes so armazenadas na partio de configurao
do AD DS. Como essa partio abrange toda a floresta, todos os domnios na floresta compartilham o
dicionrio de declaraes, e os controladores dos domnios emitem informaes de declarao durante
a autenticao do usurio e do computador.

Configurao de servios avanados do Windows Server 2012

3-17

Para criar declaraes baseadas em atributo na Central Administrativa do Active Directory, navegue at
o n Controle de Acesso Dinmico e abra o continer Tipos de Declarao. Por padro, nenhum tipo de
declarao est definido aqui. No painel Aes, voc pode clicar em Criar Tipo de Declarao para exibir
a lista de atributos. Esses atributos so usados como origem de valores para declaraes. Quando voc
criar uma declarao, a associa com o atributo especfico. O valor desse atributo preenchido como um
valor de declarao. Portanto, essencial que as informaes dos atributos do Active Directory que so
usadas nos tipos de declarao de origem contenham informaes precisas ou permaneam em branco,
pois sero usadas para o controle de acesso de segurana.
Ao selecionar o atributo que deseja usar para criar uma declarao, voc tambm deve fornecer
um nome para a declarao. O nome sugerido para a declarao sempre igual ao nome do atributo
selecionado. Porm, voc tambm pode fornecer um nome alternativo ou mais significativo para
a declarao. Opcionalmente, voc pode fornecer valores sugeridos para uma declarao. Isso
no obrigatrio, mas recomendvel porque pode reduzir a possibilidade de cometer erros.
Voc tambm pode especificar a ID da declarao. Esse valor gerado automaticamente, mas voc
poder especificar a ID da declarao, se estiver definindo a mesma declarao para vrias florestas
e desejar usar a mesma ID.
Observao: Os tipos de declarao so originados de atributos do AD DS. Por isso,
voc deve configurar os atributos do computador e das contas de usurio no AD DS com
informaes corretas do respectivo usurio ou computador. Os controladores de domnio do
Windows Server 2012 no emitem uma declarao para um tipo de declarao baseado em
atributo quando o atributo da entidade de segurana da autenticao est vazio. Dependendo
da configurao dos atributos do objeto de propriedade do recurso do arquivo de dados,
um valor nulo em uma declarao pode resultar na negao de acesso do usurio ao
Controle de Acesso Dinmico dados protegidos.

Criao e configurao de propriedades do recurso


Embora as propriedades do recurso estejam no centro do Controle de Acesso Dinmico, voc deve
implement-los depois de definir as declaraes de usurios e dispositivos. Lembre-se de que, se
uma declarao no corresponder ao valor da propriedade do recurso especificado, o acesso aos
dados poder no ser permitido. Portanto, a inverso da ordem de implementao tornaria possvel
bloquear inadvertidamente o acesso de usurios a dados que, de outra forma, eles poderiam acessar.
Quando voc usa declaraes ou grupos de segurana para controlar o acesso a arquivos e pastas,
tambm deve fornecer informaes adicionais para esses recursos. Isso feito configurando os objetos
de propriedade de recursos. Voc gerencia as propriedades de recursos no continer Propriedades do
Recurso, localizado no n Controle de Acesso Dinmico, na Central Administrativa do Active Directory.
Voc pode criar suas prprias propriedades de recursos ou pode usar uma das propriedades
pr-configuradas, como Projeto, Departamento e Uso de Pastas. Todos os objetos de propriedade
de recursos predefinidos esto desabilitados por padro. Se desejar usar algum deles, deve primeiro
habilit-lo. Se desejar criar seu prprio objeto de propriedade do recurso, voc poder especificar
o tipo de propriedade e os valores permitidos ou sugeridos.

3-18 Implementao do Controle de Acesso Dinmico

Ao criar objetos de propriedade de recursos, voc pode selecionar propriedades para incluir nos arquivos
e nas pastas. Ao avaliar a autorizao e a auditoria de arquivos, o sistema operacional Windows usa
os valores dessas propriedades juntamente com os valores das declaraes de usurios e dispositivos.
Depois de configurar as declaraes de usurios e dispositivos e as propriedades de recursos, voc deve
proteger os arquivos e as pastas usando expresses condicionais que avaliam as declaraes de usurios
e dispositivos em relao a valores constantes ou os valores das propriedades de recursos. Voc pode
fazer isso de uma destas trs maneiras:

Se desejar incluir apenas pastas especficas, voc poder usar o Editor de Configuraes de Segurana
Avanadas para criar expresses condicionais diretamente no descritor de segurana.

Para incluir vrios servidores de arquivos (ou todos), voc pode criar regras de poltica de acesso
central e vincular essas regras a objetos da Poltica Central. Voc pode ento usar a Poltica
de Grupo para implantar os objetos da Poltica Central a servidores de arquivos e configurar
o compartilhamento para usar o objeto da Poltica Central. Porm, o uso de polticas de acesso
central o mtodo mais eficiente e preferido para proteger arquivos e pastas. Isso abordado
melhor no prximo tpico.

Voc pode usar classificaes de arquivos para incluir determinados arquivos com um conjunto
comum de propriedades em vrias pastas ou vrios arquivos.

Voc pode usar declaraes e objetos de propriedades de recursos juntos em expresses condicionais.
O Windows Server 2012 e o Windows 8 do suporte a uma ou mais expresses condicionais em uma
entrada de permisso. As expresses condicionais simplesmente adicionam outra camada aplicvel
entrada de permisso. Os resultados de todas as expresses condicionais devem ser avaliados como
Verdadeiro para que o Windows conceda a entrada de permisso para a autorizao. Por exemplo,
suponha que voc defina uma declarao chamada Departamento para um usurio (com um atributo
de origem departamento) e um objeto de propriedade do recurso chamado Depart. Agora voc pode
definir uma expresso condicional que informa que o usurio poder acessar uma pasta (com os objetos
de propriedade de recursos aplicados) somente se o valor do atributo Departamento do usurio for igual
ao valor da propriedade Depart na pasta. Observe que, se o objeto de propriedade de recurso Depart
no tiver sido aplicado aos arquivos em questo ou se Depart tiver um valor nulo, o usurio ter acesso
aos dados.
Observao: O acesso no controlado pela declarao, mas pelo objeto de propriedade
do recurso. A declarao deve fornecer o valor correto correspondente aos requisitos definidos
pelo objeto de propriedade do recurso. Se o objeto de propriedade do recurso no envolver
um atributo especfico, atributos de declarao adicionais ou extras associados ao usurio
ou ao dispositivo sero ignorados.

Configurao de servios avanados do Windows Server 2012

3-19

Implementao de regras e polticas de acesso central


As polticas de acesso central permitem gerenciar
e implantar uma autorizao consistente por toda
a organizao usando regras de acesso central
e objetos da Poltica de Acesso Central.
As polticas de acesso central atuam como redes
de segurana que uma organizao aplica em
seus servidores. Voc usa a Poltica de Grupo
para implantar uma poltica de acesso central
e voc aplica as polticas manualmente a todos
os servidores de arquivos Windows Server 2012
que usaro o Controle de Acesso Dinmico.
Uma poltica de acesso central permite implantar
uma configurao consistente a vrios servidores de arquivos. Alm disso, voc pode usar o Kit de
Ferramentas de Classificao de Dados para aplicar uma poltica de acesso central compartilhada em
vrios servidores que relata quais polticas de acesso central so aplicadas a quais compartilhamentos.
O componente principal de uma poltica de acesso central a regra de acesso central. Os objetos
da Poltica de Acesso Central representam uma coleo de regras de acesso central. Antes de criar
uma poltica de acesso central, voc deve criar uma regra de acesso central porque as polticas
so compostas de regras.
Uma regra de acesso central contm vrios critrios que o sistema operacional Windows usa ao avaliar
o acesso. Por exemplo, uma regra de acesso central pode usar expresses condicionais para segmentar
arquivos e pastas especficos. Cada regra de acesso central tem uma condio que determina quais
informaes a regra segmenta, alm de vrias listas de entradas de permisso que voc usa para
gerenciar as entradas de permisso atuais ou propostas da regra. Voc tambm pode retornar a lista
de entradas de permisso atual da regra para sua ltima lista conhecida de entradas de permisso.
Cada regra de acesso central pode ser membro de um ou mais objetos da Poltica de Acesso Central.

Configurao de regras de acesso central


Normalmente, voc cria e configura regras de acesso central na Centro Administrativo do
Active Directory. Porm, tambm possvel usar o Windows PowerShell para executar a mesma tarefa.
Para criar uma nova regra de acesso central, faa o seguinte:
1.

Fornea um nome e uma descrio para a regra. Voc tambm deve optar por proteger a regra
contra excluso acidental.

2.

Configure os recursos de destino. Na Central Administrativa do Active Directory, use a seo Recursos
de Destino para criar um escopo para a regra de acesso. Voc cria o escopo usando propriedades
de recursos em uma ou mais expresses condicionais. Voc deseja criar uma condio de destino
baseada no requisito de negcios que orienta essa regra. Por exemplo, Resource.Compliancy=HIPAA.
Para simplificar o processo, voc pode manter o valor padro (Todos os recursos), mas em geral voc
aplica alguma filtragem de recursos. Voc pode unir as expresses condicionais usando operadores
lgicos, como AND e OR. Alm disso, possvel agrupar expresses condicionais para combinar
os resultados de duas ou mais expresses condicionais unidas. A seo Recursos de Destino
exibe a expresso condicional configurada no momento que est sendo usada para controlar
a aplicabilidade da regra.

3-20 Implementao do Controle de Acesso Dinmico

3.

Configure as permisses com uma das seguintes opes:


o

Usar as seguintes permisses como propostas. Selecione essa opo para adicionar as
entradas de permisses da lista de permisses lista de entradas de permisses propostas
para a regra de acesso central recm-criada. Voc pode combinar as lista de permisses
propostas com a auditoria do sistema de arquivos para modelar o acesso efetivo que
os usurios tm ao recurso, sem precisar alterar as entradas de permisses na lista de
permisses atual. As permisses propostas geram um evento de auditoria especial
para o log de eventos que descreve o acesso efetivo proposto para os usurios.

Observao: As permisses propostas no se aplicam a recursos; elas existem somente


para fins de simulao.
o

Usar as seguintes permisses como atuais. Selecione essa opo para adicionar as entradas
de permisses da lista de permisses lista de entradas de permisses atuais para a regra de
acesso central recm-criada. A lista de permisses atuais representa as permisses adicionais
que o sistema operacional Windows considera quando voc implanta a regra de acesso central
a um servidor de arquivos. As regras de acesso central no substituem a segurana existente.
Ao tomar decises de autorizao, o Windows avalia as entradas de permisso da lista de
permisses atuais da regra de acesso central, NTFS e listas de permisses de compartilhamento.

Quando estiver satisfeito com as permisses propostas, voc poder convert-las em permisses atuais.
Alternativamente, voc pode usar as permisses atuais em um ambiente de teste e o acesso efetivo como
especificado na guia Segurana Avanada para modelar como a poltica se aplica a usurios diferentes.

Implementao da auditoria de acesso a arquivos


O recurso Auditoria de Acesso a Objetos Globais
no Windows 8 e no Windows Server 2012
permite configurar a auditoria de acesso a objetos
de cada arquivo e pasta no sistema de arquivos
de um computador. Voc usa esse recurso para
gerenciar e configurar centralmente sistemas
operacionais Windows para monitorar cada
arquivo e cada pasta no computador. Para
habilitar a auditoria de acesso a objetos em
verses anteriores do Windows Server, voc deve
configurar essa opo em polticas de auditoria
bsicas (em GPOs) e ativar a auditoria de uma
entidade de segurana especfica na SACL do objeto. s vezes, essa abordagem no se ajusta facilmente
s polticas da empresa como Registrar em log toda a atividade de gravao administrativa em
servidores que contm informaes financeiras porque voc pode ativar o registro da auditoria
de acesso a objetos em nvel de objeto, mas no em nvel de servidor. A nova categoria de auditoria no
Windows Server 2008 R2 e no Windows Server 2012 permite aos administradores gerenciar a auditoria
de acesso a objetos usando um escopo muito mais amplo.

Configurao de servios avanados do Windows Server 2012

3-21

O Controle de Acesso Dinmico permite criar polticas de auditoria direcionadas usando propriedades
de recursos e expresses com base em declaraes de usurios e computadores. Por exemplo, voc
pode criar uma poltica de auditoria para acompanhar todas as operaes de Leitura e Gravao em
arquivos altamente confidenciais executadas por funcionrios que no tm um atributo de Liberao
de Segurana Alta preenchido com o valor apropriado. Voc pode criar polticas de auditoria baseadas
em expresso diretamente em um arquivo ou uma pasta, ou centralmente por meio da Poltica de Grupo
usando a Auditoria de Acesso a Objetos Globais. Usando essa abordagem, voc no impede o acesso
no autorizado; em vez disso, registra as tentativas de acesso ao contedo por pessoas no autorizadas.
Voc configura a Auditoria de Acesso a Objetos Globais ao habilitar a auditoria de acesso a objetos
e a auditoria de acesso a objetos globais. A habilitao desse recurso ativa a auditoria do computador
que aplica a configurao de poltica. Porm, habilitar somente a auditoria nem sempre gera eventos
de auditoria. O recurso nesta instncia, arquivos e pastas deve conter entradas de auditoria
em sua ACL.
Voc deve configurar a Auditoria de Acesso a Objetos Globais para sua empresa usando a poltica de
segurana de um GPO baseado em domnio. As duas configuraes de poltica de segurana que so
exigidas para habilitar a auditoria de acesso a objetos globais esto localizadas nos seguintes locais:

Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Poltica


de Auditoria Avanada\Polticas de Auditoria\Acesso a Objeto\Auditoria de Sistema de Arquivos

Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Poltica de


Auditoria Avanada\Poltica de Auditoria\Auditoria de Acesso a Objetos Globais\Sistema de Arquivos

A Auditoria de Acesso a Objetos Globais inclui uma subcategoria para o sistema de arquivos e o Registro.
Todos os eventos de auditoria de acesso a arquivos tambm incluem os valores de propriedade de
recursos nos eventos de auditoria, de forma que voc possa usar esses valores para relatrios avanados,
como quem acessou todos os dados financeiros. Faa isto usando ferramentas como o Microsoft System
Center para coletar todos os eventos em um banco de dados SQL central e gerar relatrios baseado
nesses eventos.
Observao: Se uma SACL de arquivo ou pasta e uma poltica de Auditoria de Acesso a
Objetos Globais (ou uma nica SACL de configurao do Registro e uma poltica de Auditoria de
Acesso a Objetos Globais) esto configuradas em um computador, a SACL efetiva derivada da
combinao da SACL de arquivo ou pasta e da poltica de Auditoria de Acesso a Objetos Globais.
Isso significa que um evento de auditoria ser gerado se uma atividade corresponder SACL de
arquivo ou pasta ou poltica de Auditoria de Acesso a Objetos Globais. Se forem configuradas
vrias polticas de auditoria globais para o mesmo servidor, as polticas de auditoria sero
combinadas em uma poltica de auditoria global para esse servidor.

3-22 Implementao do Controle de Acesso Dinmico

Implementao da Assistncia para Acesso Negado


Um dos erros mais comuns que os usurios
recebem ao tentar acessar um arquivo ou
uma pasta em um servidor de arquivos remoto
o erro de acesso negado. Normalmente, esse
erro ocorre quando um usurio tenta acessar
um recurso sem ter as permisses apropriadas
para isso ou por causa de ACLs de recursos ou
permisses configuradas incorretamente. O uso
do Controle de Acesso Dinmico poder criar
mais complicaes, caso seja implementado
incorretamente. Por exemplo, no ser concedido
acesso a usurios com permisses se um atributo
relevante em sua conta tiver sido digitado incorretamente.
Quando os usurios recebem esse erro, normalmente eles tentam entrar em contato com o administrador
para obter acesso. Porm, em geral, os administradores no aprovam o acesso aos recursos, ento eles
redirecionam os usurios para a aprovao por outra pessoa.
No Windows Server 2012, h um novo recurso para ajudar usurios e administradores nessas situaes.
Esse recurso chamado de Assistncia para Acesso Negado. A Assistncia para Acesso Negado ajuda os
usurios na resposta a problemas de acesso negado sem envolver a equipe de TI. Isso feito fornecendo
informaes sobre o problema e direcionando os usurios pessoa adequada.

Correo de acesso negado


O recurso Assistncia para Acesso Negado fornece trs modos de solucionar problemas com erros
de acesso negado:

Autocorreo. Os administradores podem criar mensagens de acesso negado personalizadas de


autoria do administrador do servidor. Usando as informaes nessas mensagens, os usurios podem
tentar corrigir eles mesmos os casos de acesso negado. A mensagem tambm pode incluir URLs
que direcionam os usurios para sites de autocorreo fornecidos pela organizao. Por exemplo,
a URL pode direcionar o usurio para alterar a senha de um aplicativo ou baixar uma cpia
atualizada do software do cliente.

Correo pelo proprietrio dos dados. Os administradores podem definir proprietrios para as
pastas compartilhadas. Assim, os usurios podem enviar mensagens de email para os proprietrios
dos dados para solicitar acesso. Por exemplo, se um usurio for acidentalmente excludo de uma
associao de grupo de segurana ou se o atributo de departamento do usurio for digitado
incorretamente, o proprietrio dos dados pode adicionar o usurio ao grupo. Se o proprietrio dos
dados no souber como conceder acesso ao usurio, ele poder encaminhar essas informaes para
o administrador de TI apropriado. Isso til porque o nmero de solicitaes de suporte de usurios
que so escaladas para o suporte tcnico deve limitar-se a casos especializados ou difceis de resolver.

Correo pelos administradores de suporte tcnico e do servidor de arquivos. Se os usurios no


puderem corrigir sozinhos os problemas e os proprietrios dos dados tambm no conseguirem
resolver o problema, os administradores podero solucionar problemas acessando uma interface
do usurio para exibir as permisses efetivas do usurio. Exemplos de quando um administrador
deve ser envolvido so os casos em que atributos de declaraes ou atributos de objeto de recursos
so definidos incorretamente ou contm informaes incorretas, ou quando os prprios dados
parecem estar corrompidos.

Configurao de servios avanados do Windows Server 2012

3-23

Voc usa a Poltica de Grupo para habilitar o recurso Assistncia para Acesso Negado. Abra o Editor
de Objeto de Poltica de Grupo e navegue at Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Assistncia para Acesso Negado. No n Assistncia para Acesso
Negado, voc pode habilitar a Assistncia para Acesso Negado e tambm pode fornecer mensagens
personalizadas para os usurios. Alternativamente, voc tambm pode usar o console do FSRM
para habilitar a Assistncia para Acesso Negado. Porm, se a Assistncia para Acesso Negado estiver
habilitada na Poltica de Grupo, as configuraes apropriadas no console do FSRM sero desabilitadas
para configurao.
Voc tambm pode usar a pgina Propriedades de Gerenciamento do FSRM para configurar uma
mensagem personalizada de Assistncia para Acesso Negado para uma rvore de pastas especfica
no servidor, por exemplo, uma mensagem por compartilhamento.

Implementao de classificaes de arquivos


Para implementar o Controle de Acesso Dinmico
de forma eficiente, voc deve propriedades de
recursos e declaraes bem definidas. Embora
as declaraes sejam definidas por atributos de
um usurio ou um dispositivo, mais frequente
que as propriedades de recursos sejam criadas
e definidas manualmente. As classificaes de
arquivos permitem aos administradores definir
procedimentos automticos para definir uma
propriedade desejada no arquivo, com base
em condies especificadas em uma regra
de classificao. Por exemplo, voc pode definir
a propriedade Confidencialidade como Alta em todos os documentos cujo contedo inclui a palavra
segredo. Voc poderia usar essa propriedade no Controle de Acesso Dinmico para especificar que
apenas os funcionrios com atributos employeetype definidos como Gerente podem acessar esses
documentos.
No Windows Server 2008 R2 e no Windows Server 2012, as tarefas de gerenciamento de classificao
e gerenciamento de arquivo permitem aos administradores gerenciar grupos de arquivos com base
em vrios atributos de arquivo e pasta. Com elas, voc pode automatizar tarefas de manuteno
de arquivos e pastas, como limpar dados obsoletos ou proteger informaes confidenciais.
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, voc classifica
arquivos manualmente. A infraestrutura de classificao de arquivos no Windows Server 2008 R2 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e ento aplicar requisitos corporativos para gerenciar dados com base em um valor comercial.

3-24 Implementao do Controle de Acesso Dinmico

Voc pode usar a classificao de arquivo para executar as seguintes aes:

Definir propriedades de classificao e valores que voc pode ento atribuir a arquivos executando
regras de classificao.

Classificar uma pasta de forma que todos os arquivos dentro da estrutura de pastas herdem
a classificao.

Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.

Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades que
suportam diversos valores. Voc tambm pode desclassificar os arquivos que atendem mais aos
critrios de classificao.

Implementao de alteraes da poltica de acesso central


Depois que implementar o Controle de Acesso
Dinmico, talvez seja necessrio fazer algumas
alteraes. Por exemplo, voc pode ter que
atualizar expresses condicionais ou talvez
queira alterar as declaraes. Porm, voc deve
planejar qualquer alterao de componentes
do Controle de Acesso Dinmico com cuidado.
A alterao de uma poltica de acesso central
pode afetar o acesso drasticamente. Por exemplo,
uma alterao pode potencialmente conceder
mais acesso que o desejado ou pode restringir
demais uma poltica, resultando em um nmero
excessivo de chamadas de suporte tcnico. Como prtica recomendada, voc deve testar as alteraes
antes de implementar uma atualizao da poltica de acesso central.
Para essa finalidade, o Windows Server 2012 introduz o conceito de preparao. A preparao permite
aos usurios verificar suas atualizaes de polticas propostas antes de sua imposio. Para usar a
preparao, voc implanta a poltica proposta junto com as polticas impostas, mas na verdade no
concede ou nega permisses. Em vez disso, o sistema operacional Windows registra em log um evento
de auditoria (evento 4818) sempre que o resultado da verificao de acesso que est usando a poltica
preparada diferente do resultado de uma verificao de acesso que est usando a poltica imposta.

Configurao de servios avanados do Windows Server 2012

Laboratrio: Implementao do Controle


de Acesso Dinmico
Cenrio
A equipe de pesquisa da A. Datum Corporation est envolvida em um trabalho confidencial que
agrega muito valor ao negcio. Alm disso, outros grupos na A. Datum, como o departamento
executivo, frequentemente armazena arquivos que contm informaes crticas para os negcios
nos servidores de arquivos da empresa. O departamento de segurana deseja assegurar que esses
arquivos confidenciais estejam acessveis somente para o pessoal devidamente autorizado, e que
todo o acesso a esses arquivos seja auditado.
Como um dos administradores snior de rede da A. Datum, voc responsvel por lidar com esses
requisitos de segurana implementando o Controle de Acesso Dinmico nos servidores de arquivos.
Voc trabalhar de perto com os grupos de negcios e o departamento de segurana para identificar
quais arquivos precisam ser protegidos e quem deve ter acesso a esses arquivos. Voc implementar
ento o Controle de Acesso Dinmico com base nos requisitos da empresa.

Objetivos

Planejar a implementao do Controle de Acesso Dinmico.

Configurar declaraes de usurios e dispositivos

Configurar definies de propriedades de recursos

Configurar regras e polticas de acesso central.

Validar e corrigir o Controle de Acesso Dinmico

Implementar novas polticas de recursos

Configurao do laboratrio
Tempo previsto: 90 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

3-25

3-26 Implementao do Controle de Acesso Dinmico

4.

Entre usando as seguintes credenciais:


o

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

5.

Repita as etapas 2 a 4 para 24412B-LON-SVR1.

6.

No inicie 24412B-LON-CL1 e 24412B-LON-CL2 at receber instrues.

Exerccio 1: Planejamento da implementao do Controle


de Acesso Dinmico
Cenrio
A A. Datum Corporation deve assegurar que os documentos usados pela equipe de pesquisa e o
departamento executivo sejam protegidos. A maioria dos arquivos usados por esses departamentos
so armazenados atualmente em pastas compartilhadas exclusivas dos departamentos, mas, s vezes,
documentos confidenciais aparecem em outras pastas compartilhadas. Somente os membros da
equipe de pesquisa devem poder acessar as pastas da equipe de pesquisa e apenas os gerentes
do departamento executivo devem poder acessar documentos altamente confidenciais.
O departamento de segurana tambm est preocupado com o fato dos gerentes estarem acessando
os arquivos usando seus computadores residenciais, que podem no ser muito seguros. Portanto, voc
deve criar um plano para proteger os documentos independentemente de onde eles estejam localizados,
alm de assegurar que os documentos possam ser acessados somente de computadores autorizados.
Os computadores autorizados dos gerentes so membros do grupo de segurana ManagersWks.
O departamento de suporte relata que um grande nmero de chamadas gerado por usurios
que no conseguem acessar recursos. Voc deve implementar um recurso que ajude os usurios a
entender melhor as mensagens de erro, o que permitir que eles solicitem acesso automaticamente.
As principais tarefas deste exerccio so:
1.

Planejar a implantao do Controle de Acesso Dinmico.

2.

Preparar o AD DS para dar suporte ao Controle de Acesso Dinmico.

Tarefa 1: Planejar a implantao do Controle de Acesso Dinmico

Com base no cenrio, descreva como voc criar o Controle de Acesso Dinmico para atender
aos requisitos de controle de acesso.

Tarefa 2: Preparar o AD DS para dar suporte ao Controle de Acesso Dinmico


1.

Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.

2.

Crie uma nova UO chamada Test.

3.

Mova os objetos dos computadores LON-CL1, LON-CL2 e LON-SVR1 para a UO Teste.

4.

Em LON-DC1, no Gerenciador do Servidor, abra o Console de Gerenciamento de Poltica


de Grupo.

5.

Remova a configurao Bloquear Herana que se aplica UO Managers. Isso para remover
a configurao de bloquear herana usada em um mdulo posterior do curso.

Configurao de servios avanados do Windows Server 2012

6.

Edite o GPO Default Domain Controllers Policy.

7.

No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, expanda


Polticas, expanda Modelos Administrativos, expanda Sistema e clique em KDC.

8.

Habilite a configurao da poltica Suporte do KDC a declaraes, autenticao composta


e proteo Kerberos.

9.

Na seo Opes, clique em Suportado.

3-27

10. Em LON-DC1, atualize a Poltica de Grupo.


11. Abra Usurios e Computadores do Active Directory e, no continer Users, crie um grupo
de segurana chamado ManagersWKS.
12. Adicione LON-CL1 ao grupo ManagersWKS.
13. Verifique se o usurio Aidan Delaney membro do departamento Managers e se Allie Bellew
membro do departamento Research. As entradas de departamento devem ser preenchidas
no atributo apropriado de cada perfil de usurio.

Resultados: Depois de concluir este exerccio, voc ter planejado a implantao do Controle de Acesso
Dinmico e preparado o AD DS para a implementao do Controle de Acesso Dinmico.

Exerccio 2: Configurao de declaraes de usurios e dispositivos


Cenrio
A primeira etapa na implementao do Controle de Acesso Dinmico configurar as declaraes
dos usurios e dispositivos que acessam os arquivos. Neste exerccio, voc examinar as declaraes
padro e criar novas declaraes com base nos atributos de departamento e descrio do computador.
Para os usurios, voc criar uma declarao para um atributo de departamento. Para os computadores,
voc criar uma declarao para um atributo de descrio.
As principais tarefas deste exerccio so:
1.

Examinar os tipos de declarao padro.

2.

Configurar declaraes para usurios.

3.

Configurar declaraes para dispositivos.

Tarefa 1: Examinar os tipos de declarao padro


1.

Em LON-DC1, no Gerenciador do Servidor, abra a Central Administrativa do Active Directory.

2.

Na Central Administrativa do Active Directory, clique no n Controle de Acesso Dinmico.

3.

Abra o continer Claim Types e certifique-se de que no haja nenhuma declarao padro definida.

4.

Abra o continer Resource Properties e observe que todas as propriedades esto desabilitadas
por padro.

5.

Abra o continer Resource Property Lists e abra as propriedades da Global Resource


Property List.

6.

Na seo Propriedades do Recurso, examine as propriedades de recursos disponveis e clique


em Cancelar.

3-28 Implementao do Controle de Acesso Dinmico

Tarefa 2: Configurar declaraes para usurios


1.

Na Central Administrativa do Active Directory, no painel de navegao, clique em Controle


de Acesso Dinmico.

2.

Abra o continer Claim Types e crie um novo tipo de declarao para usurios e computadores
usando as seguintes configuraes:
o

Atributo de Origem: department

Nome para exibio: Departamento da Empresa

Tarefa 3: Configurar declaraes para dispositivos


1.

Na Central Administrativa do Active Directory, no painel Tarefas, clique em Nova e clique


em Tipo de Declarao.

2.

Crie um novo tipo de declarao para computadores usando as seguintes configuraes:


o

Atributo de Origem: description

Nome para exibio: descrio

Resultados: Depois de concluir este exerccio, voc ter examinado os tipos de declarao padro,
configurado declaraes para usurios e para dispositivos.

Exerccio 3: Configurao de definies de propriedades de recursos


Cenrio
A segunda etapa na implementao do Controle de Acesso Dinmico consiste em configurar as listas
e as definies de propriedades de recursos. Depois de fazer isso, voc deve fazer uma nova regra de
classificao de todos os arquivos que contm a palavra segredo. Esses arquivos devem ter um valor
Alto atribudo ao atributo Confidencialidade. Voc tambm deve atribuir a propriedade departamento
pasta que pertence equipe de pesquisa.
As principais tarefas deste exerccio so:
1.

Configurar definies de propriedades de recursos.

2.

Classificar arquivos.

3.

Atribuir propriedades a uma pasta.

Tarefa 1: Configurar definies de propriedades de recursos


1.

Na Central Administrativa do Active Directory, clique em Controle de Acesso Dinmico e abra


o continer Resource Properties.

2.

Habilite as propriedades de recursos Department e Confidentiality.

3.

Abra Propriedades da propriedade Department.

4.

Adicione Pesquisa como valor sugerido.

5.

Abra a Global Resource Property List, verifique se Department e Confidentiality esto includas na
lista e clique em Cancelar.

6.

Feche a Central Administrativa do Active Directory.

Configurao de servios avanados do Windows Server 2012

Tarefa 2: Classificar arquivos


1.

Em LON-SVR1, abra o Gerenciador de Recursos do Servidor de Arquivos.

2.

Atualize Propriedades de Classificao e verifique se as propriedades Confidentiality


e Department esto listadas.

3.

Crie uma regra de classificao com os seguintes valores:


o

Nome: Definir Confidencialidade

Escopo: C:\Docs

Mtodo de classificao: Classificador de Contedo

Propriedade: Confidentiality

Valor: High

Parmetros de Classificao: Cadeia de caracteres secreto

Tipo de avaliao: Reavaliar os valores de propriedade existentes e clique em Substituir


o valor existente

4.

Execute a regra de classificao.

5.

Abra uma janela do Explorador de Arquivos, navegue at a pasta C:\Docs e abra a janela
Propriedades dos arquivos Doc1.txt, Doc2.txt e Doc3.txt.

6.

Verifique os valores de Confidencialidade. Doc1.txt e Doc2.txt devem ter a confidencialidade


definida como Alta.

Tarefa 3: Atribuir propriedades a uma pasta


1.

Em LON-SVR1, abra o Explorador de Arquivos.

2.

Navegue at C:\Research e abra suas propriedades.

3.

Na guia Classificao, defina o valor de Department como Research.

Resultados: Depois de concluir este exerccio, voc ter configurado as propriedades de recursos
para arquivos, arquivos classificados e propriedades atribudas a uma pasta.

Exerccio 4: Configurao de regras e polticas de acesso central


Cenrio
Agora que configurou as definies de propriedades de recursos, voc precisa configurar as regras
e polticas de acesso central e que vincularo as declaraes e as definies de propriedades.
As principais tarefas deste exerccio so:
1.

Configurar regras de acesso central.

1.

Criar uma poltica de acesso central.

2.

Publique uma poltica de acesso central usando a Poltica de Grupo.

3.

Aplicar a poltica de acesso central a recursos.

4.

Definir configuraes de correo de acesso negado.

3-29

3-30 Implementao do Controle de Acesso Dinmico

Tarefa 1: Configurar regras de acesso central


1.

Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Central


Administrativa do Active Directory.

2.

Clique em Controle de Acesso Dinmicoe abra o continer Central Access Rules.

3.

Crie uma nova Regra de Acesso Central com os seguintes valores:

4.

Nome: Correspondncia de Departamento

Recurso de destino: use condition Recurso-Department-Igual-Valor-Research

Permisses atuais:

Remover Administradores

Adicionar Usurios Autenticados,

Modificar, com a condio Usurio-Departmento da Empresa-Igual-RecursoDepartment

Crie outra Regra de Acesso Central com os seguintes valores:


o

Nome: Acessar Documentos Confidenciais

Recurso de destino: use condition Recurso-Confidentiality-Igual-Valor-High

Permisses atuais:

Remover Administradores

Adicionar Usurios autenticados

Modificar e set first condition to: Usurio-Grupo-Membro de cada-Valor-Managers

Permisses: Definir a segunda condio como: Device-Grupo-Membro de cada-ValueManagersWKS

Tarefa 2: Criar uma poltica de acesso central


1.

2.

3.

Em LON-DC1, no Centro Administrativo do Active Directory, crie uma nova Central Access Policies
com os seguintes valores:
o

Nome: Proteger documentos confidenciais

Regras includas: Acessar Documentos Confidenciais

Crie outra Poltica de Acesso Central com os seguintes valores:


o

Nome: Correspondncia de Departamento

Regras includas: Correspondncia de Departamento

Feche o Centro Administrativo do Active Directory.

Tarefa 3: Publique uma poltica de acesso central usando a Poltica de Grupo


1.

Em LON-DC1, no Gerenciador do Servidor, abra o Console de Gerenciamento de Poltica


de Grupo.

2.

Crie um novo GPO chamado Poltica DAC e, no domnio Adatum.com, vincule-o UO Teste.

3.

Edite a Poltica DAC, navegue at Configurao do Computador/Polticas/


Configuraes do Windows/Configuraes de Segurana/Sistema de Arquivos e clique
com o boto direito do mouse em Poltica de Acesso Central.

Configurao de servios avanados do Windows Server 2012

3-31

4.

Clique em Gerenciar Polticas de Acesso Central.

5.

Clique em Correspondncia de Departamento e clique em Proteger documentos confidenciais,


clique em Adicionar e clique em OK.

6.

Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica


de Grupo.

Tarefa 4: Aplicar a poltica de acesso central a recursos


1.

Em LON-SVR1, use o Windows PowerShell para atualizar a Poltica de Grupo em LON-SVR1.

2.

Abra o Explorador de Arquivos e navegue at a pasta C:\Docs.

3.

Aplique a poltica central Proteger documentos confidenciais pasta C:\Docs.

4.

Navegue at a pasta C:\Pesquisa.

5.

Aplique a poltica central Correspondncia de Departamento pasta C:\Pesquisa.

Tarefa 5: Definir configuraes de correo de acesso negado


1.

Em LON-DC1, abra o Console de Gerenciamento de Poltica de Grupo e navegue at Objetos


de Poltica de Grupo.

2.

Editar a Poltica DAC.

3.

No n Configurao do Computador, navegue at Polticas\Modelos Administrativos\Sistema


e clique em Assistncia dee Acesso Negado.

4.

No painel direito, clique duas vezes em Personalizar Mensagem para erros de Acesso Negado.

5.

Na janela Personalizar Mensagem para erros de Acesso Negado, clique em Habilitado.

6.

Na caixa de texto Exiba a seguinte mensagem aos usurios que tiveram acesso negado,
digite Seu acesso foi negado devido poltica de permisses. Solicite o acesso.

7.

Marque a caixa de seleo Permitir que os usurios solicitem assistncia e clique em OK.

8.

Clique duas vezes em Habilitar a assistncia de acesso negado no cliente para todos os tipos
de arquivo, habilite-a e clique em OK.

9.

Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica


de Grupo.

10. Alterne para LON-SVR1 e atualize a Poltica de Grupo.

Resultados: Depois de concluir este exerccio, voc ter configurado regras e polticas de acesso central
para o Controle de Acesso Dinmico.

Exerccio 5: Validao e correo do Controle de Acesso Dinmico


Cenrio
Para assegurar que as configuraes do Controle de Acesso Dinmico sejam definidas corretamente,
voc precisa testar vrios cenrios de acesso. Voc testar os usurios e dispositivos aprovados, e os
usurios e dispositivos no aprovados. Voc tambm validar a configurao de correo de acesso.
As principais tarefas deste exerccio so:
1.

Validar a funcionalidade do Controle de Acesso Dinmico.

3-32 Implementao do Controle de Acesso Dinmico

Tarefa 1: Validar a funcionalidade do Controle de Acesso Dinmico


1.

Inicie e entre em LON-CL1 como Adatum\April com a senha Pa$$w0rd.

2.

Clique no bloco rea de Trabalho e abra o Explorador de Arquivos.

3.

Navegue at \\LON-SVR1\Docs e verifique que voc pode abrir apenas Doc3.

4.

Tente acessar \\LON-SVR1\Research. Voc no deve obter acesso.

5.

Saia de LON-CL1.

6.

Entre em LON-CL1 como Adatum\Allie com a senha Pa$$w0rd.

7.

Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Research. Voc deve ter acesso
e conseguir abrir os arquivos da pasta.

8.

Saia de LON-CL1.

9.

Entre em LON-CL1 como Adatum\Aidan com a senha Pa$$w0rd.

10. Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Docs. Voc deve poder abrir todos
os arquivos nessa pasta.
11. Saia de LON-CL1.
12. Inicie e entre em LON-CL2 como Adatum\Aidan com a senha Pa$$w0rd.
13. Abra o Windows Explorer e tente acessar \\LON-SVR1\Docs. Voc no deve poder ver Doc1
e Doc2, porque LON-CL2 no tem permisso para exibir documentos secretos.

Resultados: Depois de concluir este exerccio, voc ter validado a funcionalidade do Controle de
Acesso Dinmico.

Exerccio 6: Implementao de novas polticas de recursos


Cenrio
Como uma etapa final na implementao do Controle de Acesso Dinmico, voc testar o efeito
de implementar uma nova poltica de recurso.
As principais tarefas deste exerccio so:
1.

Configurar a preparao de uma poltica de acesso central.

2.

Configurar permisses de preparao.

3.

Verificar a preparao.

4.

Usar permisses efetivas para testar o Controle de Acesso Dinmico.

Tarefa 1: Configurar a preparao de uma poltica de acesso central


1.

Em LON-DC1, abra Gerenciamento de Poltica de Grupo.

2.

Abra o Editor de Gerenciamento de Poltica de Grupo de Poltica DAC.

3.

Navegue at Configurao do Computador\Polticas\Configuraes do Windows\


Configuraes de Segurana\Configurao Avanada de Poltica de Auditoria\
Polticas de Auditoria e clique em Acesso a Objeto.

Configurao de servios avanados do Windows Server 2012

3-33

4.

Clique duas vezes em Preparo de Poltica de Acesso Central de Auditoria, marque as trs caixas
de seleo e clique em OK.

5.

Clique duas vezes em Auditoria de Sistema de Arquivos, marque as trs caixas de seleo e clique
em OK.

6.

Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica


de Grupo.

Tarefa 2: Configurar permisses de preparao


1.

Em LON-DC1, abra o Centro Administrativo do Active Directory e abra as propriedades da regra


de acesso central Correspondncia de Departamento.

2.

Na seo Permisses propostas, configure a condio de Usurios Autenticados como UsurioDepartmento da Empresa-Igual-Valor-Marketing.

3.

Em LON-SVR1, atualize as permisses.

Tarefa 3: Verificar a preparao


1.

Entre em LON-CL1 como Adatum\Adam com a senha Pa$$w0rd.

2.

No Explorador de Arquivos, tente acessar \\LON-SVR1\Pesquisa e os arquivos contidos na pasta.

3.

Alterne para LON-SVR1.

4.

Abra o Visualizador de Eventos, abra o Log de segurana, procure e examine os eventos


com a ID 4818.

Tarefa 4: Usar permisses efetivas para testar o Controle de Acesso Dinmico


1.

Em LON-SVR1, abra as propriedades da pasta C:\Research.

2.

Abra as opes Avanadas de Segurana e clique em Acesso Efetivo.

3.

Clique em selecionar um usurio.

4.

Na janela Selecionar Usurio, Computador, Conta de Servio ou Grupo, digite April,


clique em Verificar Nomes e clique em OK.

5.

Clique em Exibir acesso efetivo.

6.

Analise os resultados. O usurio no deve ter acesso a essa pasta.

7.

Clique em Incluir uma declarao do usurio.

8.

Na lista suspensa, clique em Departamento da Empresa.

9.

Na caixa de texto Valor, digite Research.

10. Clique em Exibir acesso efetivo. Agora o usurio deve ter acesso.
11. Feche todas as janelas abertas.

Resultados: Depois de concluir este exerccio, voc ter implementado novas polticas de recursos.

3-34 Implementao do Controle de Acesso Dinmico

Para se preparar para o prximo mdulo


1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.

Configurao de servios avanados do Windows Server 2012

Reviso e informaes complementares do mdulo


Prtica recomendada:

Use polticas de acesso central em vez de configurar expresses condicionais em recursos.

Habilite as configuraes de Assistncia para Acesso Negado.

Sempre teste as alteraes feitas a regras e polticas de acesso central antes de implement-las.

Use classificaes de arquivos para atribuir propriedades a arquivos.

Problemas comuns e dicas de soluo de problemas


Problema comum

Dica para a soluo de problemas

As declaraes no so preenchidas
com os valores apropriados.

Uma expresso condicional no permite o acesso.

Perguntas de reviso
Pergunta: O que uma declarao?
Pergunta: Qual a finalidade das polticas de acesso central?
Pergunta: O que a Assistncia para acesso negado?

Ferramentas
Ferramenta

Uso

Local

Centro Administrativo
do Active Directory

Administrao e criao de
declaraes, propriedades
de recursos, regras e polticas

Ferramentas administrativas

Console de Gerenciamento
de Poltica de Grupo (GPMC)

Gerenciamento da poltica
de grupo

Ferramentas administrativas

Editor de Gerenciamento
de Poltica de Grupo

Edio de GPOs (Objetos


de Poltica de Grupo)

GPMC

3-35

4-1

Mdulo 4
Implementao de implantaes distribudas dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo

4-1

Lio 1: Viso geral de implantaes distribudas do AD DS

4-2

Lio 2: Implantao de um ambiente distribudo do AD DS

4-8

Lio 3: Configurao de relaes de confiana do AD DS

4-17

Laboratrio: Implementao de implantaes do AD DS distribudas

4-23

Reviso e informaes complementares do mdulo

4-27

Viso geral do mdulo


Para a maioria das organizaes, a implantao de Servios de Domnio do Active Directory
(AD DS) pode ser o componente mais importante na infraestrutura de TI. Quando as organizaes
implantam o AD DS ou qualquer outro servio vinculado do Active Directoryno sistema operacional
Windows Server 2012, elas esto implantando um servio de autenticao e autorizao central
que fornece acesso SSO (logon nico) a muitos outros servios e aplicativos de rede na organizao.
O AD DS tambm habilita o gerenciamento baseado em poltica para contas de usurio e computador.
A maioria das organizaes implanta apenas um nico domnio AD DS. No entanto, algumas
organizaes tambm tm requisitos que significam que precisam usar uma implantao mais
complexa do AD DS, que pode incluir vrios domnios ou vrias florestas.
Este mdulo descrever os componentes principais de um ambiente AD DS complexo e como
instalar e configurar uma implantao complexa do AD DS.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever os componentes de implantaes distribudas do AD DS.

Explicar como implantar uma implantao distribuda do AD DS.

Explicar como configurar relaes de confiana do AD DS.

4-2

Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Lio 1

Viso geral de implantaes distribudas do AD DS


Antes de comear a configurar uma implantao complexa do AD DS, importante conhecer
os componentes que compreendem a estrutura do AD DS e como eles interagem entre si para
ajudar a fornecer um ambiente de TI dimensionvel e seguro. A lio comea examinando os
vrios componentes do AD DS e depois analisa os motivos pelos quais uma organizao pode
optar por implantar uma ambiente complexo do AD DS.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever os componentes de um ambiente do AD DS.

Explicar como domnios AD DS e florestas formam limites para segurana e administrao.

Descrever as razes para ter mais de um domnio em um ambiente do AD DS.

Explicar as razes para ter mais de uma floresta em um ambiente do AD DS.

Explicar a importncia do DNS (Sistema de Nomes de Domnio) em uma estrutura complexa


do AD DS.

Discusso: Viso geral dos componentes do AD DS


Um ambiente do AD DS tem vrios componentes
e importante voc entender a finalidade de cada
componente e como eles interagem entre si.
Pergunta: O que um domnio AD DS?
Pergunta: O que uma rvore do AD DS?
Pergunta: O que uma floresta do AD DS?
Pergunta: O que so relaes de confiana?
Pergunta: O que o catlogo global?

Configurao de servios avanados do Windows Server 2012

4-3

Viso geral dos limites de domnio e floresta em uma estrutura do AD DS


Os domnios e as florestas do AD DS fornecem
tipos diferentes de limites em uma implantao
do AD DS. Uma compreenso dos tipos diferentes
de limites essencial para gerenciar um ambiente
complexo do AD DS.

Limites de domnio do AD DS
O domnio do AD DS fornece os seguintes limites:

Limite de replicao para a partio


de domnio. Rodos os objetos do AD DS
que existem em um nico domnio so
armazenados na partio de domnio
no banco de dados do AD DS em cada controlador de domnio no domnio domnio. O processo
de replicao assegura que todas as atualizaes de origem sejam replicadas para todos os outros
controladores de domnio no mesmo domnio. Os dados na partio de domnio no so replicados
para outros controladores em outras florestas.

Limite de administrao. Por padro, um domnio AD DS inclui vrios grupos, como o grupo
Administradores de Domnio que tem controle administrativo total sobre o domnio. Voc tambm
pode atribuir permisses administrativas a contas de usurio e grupos dentro de domnios. Com
exceo do grupo Administradores de Empresa no domnio raiz da floresta, as contas administrativas
no tm nenhum direito administrativo em outros domnios na floresta ou em outras florestas.

Limite de aplicao de Poltica de Grupo. As Polticas de Grupo podem ser vinculadas nos seguintes
nveis: local, site, domnio e UO (unidade organizacional). Alm das Polticas de Grupo do nvel
de site, o escopo das Polticas de Grupo o domnio AD DS. No h nenhuma herana de Polticas
de Grupo de um domnio AD DS para outro, mesmo que um domnio AD DS seja inferior a outro
em uma rvore de domnio.

Limite de auditoria. A auditoria gerenciada centralmente com o uso de GPOs (Objetos de Poltica
de Grupo). O escopo mximo dessas configuraes o domnio AD DS. possvel ter as mesmas
configuraes de auditoria em domnios AD DS diferentes, mas eles devem ser gerenciados
separadamente em cada domnio.

Limites de poltica de senha e conta. Por padro, as polticas de senha e conta so definidas no
nvel de domnio e aplicadas a todas as contas de domnio. Embora seja possvel configurar polticas
de senha definidas para configurar polticas diferentes para usurios especficos em um domnio,
no possvel aplicar as polticas de conta e senha alm do escopo de um nico domnio.

Limite de replicao para zonas DNS de domnio. Uma das opes durante a configurao de zonas
DNS em um ambiente do AD DS configurar zonas integradas ao Active Directory. Isso significa
que, em vez dos registros de DNS serem armazenados localmente em cada Servidor DNS em
arquivos de texto, eles so armazenados e replicados no banco de dados do AD DS. Em seguida,
o administrador pode decidir se deseja replicar as informaes de DNS para todos os controladores
de domnio no domnio (quer eles sejam servidores DNS ou no), para todos os controladores de
domnio que forem servidores DNS no domnio ou para todos os controladores de domnio que
no sejam servidores DNS na floresta. Por padro, quando voc implanta o primeiro controlador
de domnio em um domnio AD DS e configura esse servidor como um servidor DNS, duas
parties de replicao separadas chamadas domainDnsZones e forestDnsZones so criadas.
A partio domainDnsZones contm os registros DNS especficos de domnio e replicada apenas
para outros servidores DNS que tambm so controladores de domnio do AD DS no domnio.

4-4

Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Limites de floresta do AD DS
A floresta do AD DS fornece os seguintes limites:

Limite de segurana. O limite de floresta um limite de segurana porque, por padro, nenhuma
conta fora da floresta tem qualquer permisso administrativa dentro da floresta.

Limite de replicao para a partio de esquema. A partio de esquema contm as regras e a sintaxe
para o banco de dados do AD DS. Ela replicada para todos os controladores de domnio na floresta
do AD DS.

Limite de replicao para a partio de configurao. A partio de configurao contm os


detalhes do layout de domnio do AD DS, incluindo: domnios, controladores de domnio, parceiros
de replicao, informaes de site e sub-rede e autorizao de protocolo DHCP ou a configurao
de Controle de Acesso Dinmico. A partio de configurao tambm contm informaes sobre
aplicativos que so integrados ao banco de dados do AD DS. Um exemplo de um desses aplicativos
o Exchange Server 2010. Essa partio replicada para todos os controladores de domnio na
floresta.

Limite de replicao para o catlogo global. O catlogo global a lista somente leitura que contm
todos os objetos na floresta inteira do AD DS. Para mant-la em um tamanho gerencivel, o catlogo
global contm apenas alguns atributos para cada objeto. O catlogo global replicado para todos
os controladores de domnio que tambm so servidores de catlogo global em toda a floresta.

Limite de replicao para zonas DNS de floresta. A partio forestDnsZones replicada para todos
os controladores de domnio que tambm so servidores DNS em toda a floresta. Essa zona contm
registros que so importantes para habilitar a resoluo de nomes DNS em toda a floresta.

Por que implementar vrios domnios?


Muitas organizaes podem funcionar
adequadamente com um nico domnio
do AD DS. Porm, algumas organizaes
tm requisitos que significam que elas
precisam implantar vrios domnios.
Esses requisitos podem incluir:

Requisitos de replicao de domnio.


Em alguns casos, as organizaes tm
vrios escritrios grandes que so conectados
por meio de redes de longa distncia (WANs)
lentas ou no confiveis. As conexes de rede
podem ter largura de banda suficiente para
oferecer suporte replicao do AD DS da partio de domnio. Nesse caso, talvez seja melhor
para instalar um domnio do AD DS separado em cada escritrio.

Requisitos de namespace DNS. Algumas organizaes tm um requisito para ter mais de um


namespace DNS em uma floresta do AD DS. Em geral, esse o caso quando uma empresa adquire
outra ou ocorre uma fuso com outra organizao e necessrio preservar os nomes de domnios
do ambiente existente. possvel fornecer vrios nomes UPN aos usurios em um nico domnio,
mas muitas organizaes optam por implantar vrios domnios nesse cenrio.

Configurao de servios avanados do Windows Server 2012

4-5

Requisitos de administrao distribuda. As organizaes podem ter requisitos de segurana


corporativa ou polticos para ter um modelo de administrao distribuda. As organizaes
podem obter autonomia administrativa implantando um domnio separado. Com essa
implantao, os administradores de domnio tm controle total sobre seus domnios.

Observao: A implantao de domnios separados fornece autonomia administrativa,


mas no isolamento administrativo. O nico modo de assegurar isolamento administrativo
implantar uma floresta separada.

Requisitos de segurana de grupo administrativo de floresta. Algumas organizaes podem optar


por implantar um domnio raiz dedicado ou vazio. Esse um domnio que no tem nenhuma conta
de usurio alm das contas de domnio raiz de floresta padro. O domnio raiz de floresta do AD DS
tem dois gruposos grupos Administradores de Esquema e Administradores de Empresaque no
existem em nenhum outro domnio da floresta do AD DS. Como esses grupos tm direitos de longo
alcance na floresta do AD DS, talvez voc queira restringir o uso desses grupos usando apenas
o domnio raiz da floresta do AD DS para armazen-los.

Requisitos de domnio de recurso. Algumas organizaes implantam domnios de recurso


para implantar aplicativos especficos. Com essa implantao, todas as contas de usurio
esto localizadas em um domnio, considerando que os servidores de aplicativos e as contas
de administrao de aplicativo so implantados em um domnio separado. Isso permite que os
administradores de aplicativo tenham permisses administrativas de domnio completo no domnio
de recurso sem habilitar nenhuma permisso no domnio que contm as contas de usurio normais.

Por que implementar vrias florestas?


s vezes, as organizaes podem requerer
que o design do AD DS contenha mais de
uma floresta. H vrias razes pelas quais
uma floresta do AD DS talvez no seja suficiente:

Requisitos de isolamento de segurana.


Se uma organizao exigir isolamento
administrativo entre duas de suas partes
diferentes, a organizao dever implantar
vrias florestas do AD DS. Florestas do AD DS
separadas so implantadas frequentemente
pelos contratantes de defesa do governo
e outras organizaes onde o isolamento
de segurana um requisito.

Esquemas incompatveis. Algumas organizaes talvez exijam vrias florestas, pois requerem
esquemas incompatveis ou processos de alterao de esquema incompatveis. O esquema
compartilhado entre todos os domnios em uma floresta.

4-6

Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Requisitos multinacionais. Alguns pases tm regulamentos rgidos relativos propriedade ou


ao gerenciamento de empresas dentro do pas. Ter uma floresta do AD DS separada pode fornecer
o isolamento administrativo necessrio pela legislao.

Requisitos de segurana de extranet. Algumas organizaes tm vrios servidores implantados em


uma rede de permetro. Esses servidores talvez precisem do AD DS para autenticar contas de usurio
ou podem usar o AD DS para impor polticas nos servidores na rede de permetro. Para assegurar
que o AD DS extranet seja to seguro quanto possvel, as organizaes configuram frequentemente
uma floresta do AD DS separada na rede de permetro.

Requisitos de fuso ou alienao de negcio. Um das razes mais comuns pelas quais as organizaes
tm vrias florestas do AD DS se deve s fuses comerciais. Quando as organizaes se fundem
ou uma organizao compra outra, elas precisam avaliar o requisito para mesclar as florestas
que o AD DS implantou em ambas as organizaes. A mesclagem das florestas do AD DS oferece
benefcios relacionados colaborao e administrao simplificadas. Porm, se os dois grupos
diferentes na organizao continuarem sendo gerenciados separadamente e se houver pouca
necessidade de colaborao, talvez a despesa de mesclar as duas florestas no valha a pena.
Em particular, se houver qualquer plano para vender uma parte da empresa, ser prefervel
reter as duas organizaes como florestas separadas.

Prtica recomendada: Como uma prtica recomendada, escolha o design mais simples
que atinja a meta exigida, pois ser menos caro de implementar e mais simples de administrar.

Requisitos de DNS para ambientes complexos do AD DS


O AD DS exige o DNS para funcionar
corretamente e a implementao do DNS
em um ambiente com vrios domnios ou vrias
florestas requer um nvel extra de planejamento.
Ao implantar uma estrutura de DNS para
oferecer suporte a um ambiente complexo
do AD DS, voc precisar abordar vrias
reas de configurao importantes:

Verifique a configurao de cliente DNS.


Configurar todos os computadores no
domnio AD DS com pelo menos dois
endereos de servidores DNS funcionais.
Todos os computadores devem ter conectividade de rede boa com servidores DNS.

Verifique e monitore a resoluo de nomes DNS. Verifique se todos os computadores, inclusive


controladores de domnio, podem executar pesquisas de DNS com xito para todos os controladores
de domnio na floresta. Os controladores de domnio precisam ser capazes de se conectar a outros
controladores de domnio para replicar as alteraes ao AD DS com xito. Os computadores cliente
precisam ser capazes de localizar controladores de domnio usando registros de recurso de servio
(SRV) e precisam ser capazes de resolver os nomes do controlador de domnio para endereos IP.
Em um ambiente com vrios domnios ou vrias florestas, os computadores cliente talvez precisem
localizar computadores de domnio em um domnio para validar confianas ao acessar recursos
em outro domnio.

Configurao de servios avanados do Windows Server 2012

4-7

Otimizar a resoluo de nomes DNS entre vrios namespaces. Quando as organizaes implantam
vrias rvores em uma floresta do AD DS, ou quando implantam vrias florestas, a resoluo de
nomes mais complicada porque voc precisa gerenciar vrios namespaces de domnio. Use recursos
de DNS como encaminhamento condicional, zonas de stub e delegao para otimizar o processo
de resolver nomes de computadores nos namespaces.

Usar zonas DNS integradas ao AD DS. Quando voc configura uma zona DNS como integrada ao
AD DS, as informaes de DNS so armazenadas no AD DS e replicadas pelo processo de replicao
normal do AD DS. Isso otimiza o processo de replicar alteraes em toda a floresta. Voc tambm
pode configurar o escopo de replicao para as zonas DNS. Por padro, registros de DNS especficos
de domnio sero replicados para outros controladores de domnio que tambm so servidores DNS
no domnio. Os registros DNS que habilitam pesquisas entre domnios so armazenados na zona
_msdcs.forestrootdomainname e so replicados para controladores de domnio que tambm
so servidores DNS em toda a floresta. Essa configurao padro no deve ser alterada.

4-8

Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Lio 2

Implantao de um ambiente distribudo do AD DS


Algumas organizaes precisam implantar vrios domnios ou at mesmo vrias florestas. A implantao
de controladores de domnio do AD DS nesse cenrio no muito mais complicada do que a implantao
de controladores de domnio em um nico ambiente de domnio, mas h alguns fatores especiais que
voc precisa considerar.
Nesta lio, voc saber como implantar um ambiente de complexo do AD DS e voc ver como atualizar
de uma verso anterior do AD DS.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Explicar como instalar um controlador de domnio em um novo domnio em uma floresta.

Descrever nveis funcionais de domnio AD DS.

Descrever nveis funcionais de floresta do AD DS.

Explicar como atualizar uma verso anterior do AD DS para uma verso do Windows Server 2012.

Explicar como migrar para o AD DS do Windows Server 2012 de uma verso anterior.

Demonstrao: Instalao de um controlador de domnio em um novo


domnio em uma floresta
Nesta demonstrao, voc ver como:

Configurar um controlador de domnio do AD DS.

Acessar o controlador de domnio do AD DS.

Etapas da demonstrao
Configure LON-SVR1 como um controlador de domnio do AD DS
em atl.adatum.com
1.

Entre em LON-DC1 como Adatum\Administrador com a senha Pa$$w0rd.

2.

Em LON-DC1, no Gerenciador do Servidor, use o Assistente de Instalao do AD DS para instalar


o AD DS remotamente em LON-SVR1.

3.

Use o Assistente de Instalao do AD DS para instalar e configurar LON-SVR1 como um controlador


de domnio do AD DS em um novo domnio, atl.adatum.com.

Acesse LON-SVR1 como Adatum\Administrador


1.

Selecione opes para instalar o DNS e o catlogo global e defina a senha para a conta
de administrador do Modo de Restaurao dos Servios de Diretrio.

2.

Reinicie e entre como Adatum\Administrador com a senha Pa$$w0rd, no controlador


de domnio do AD DS recm-criado LON-SVR1.

Configurao de servios avanados do Windows Server 2012

Nveis funcionais de domnio AD DS


Os domnios AD DS podem ser executados
em nveis funcionais diferentes. Geralmente,
a atualizao do domnio para um nvel funcional
mais alto introduzir recursos adicionais. Alguns
dos nveis funcionais do domnio so listados
na tabela a seguir.

Nvel funcional do domnio


O Microsoft Windows 2000
Server nativo

Recursos
Grupos universais
Aninhamento de grupo
Histrico de SID (Identificador de segurana)
Instala os controladores de domnio a partir da mdia. Instalar
a partir da mdia permite a instalao de um controlador de
domnio do AD DS sem afetar a conexo de rede, porque a
maior parte do banco de dados do AD DS restaurada localmente
de um backup ntdsutil em uma unidade USB ou DVD. Aps a
instalao e reinicializao do novo controlador de domnio do
AD DS, ele usar a rede para recuperar atualizaes de origem
do AD DS que foram feitas desde a criao do backup ntdsutil.
Observao: Os controladores de domnio do
Windows Server 2012 no podem ser instalados em um
domnio em execuo no nvel nativo do Windows 2000 Server.

4-9

4-10 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

(continuao)
Nvel funcional do domnio
Windows Server 2003

Recursos
O atributo LastLogonTimestamp se lembra da hora do ltimo
logon de domnio para os usurios e replica essa informao para
outros controladores de domnio do AD DS no domnio AD DS.
A Delegao Restrita permite que os aplicativos aproveitem
a delegao segura de credenciais de usurio utilizando
a autenticao baseada em Kerberos.
A autenticao seletiva permite a voc especificar os usurios
e os grupos que podem ser autenticados para servidores
de recurso especficos em uma floresta de confiana.
Voc pode armazenar zonas DNS em parties de aplicativo, o que
permite que sejam replicadas nos controladores de domnio que
tambm so servidores DNS no domnio ou at mesmo na floresta.
Os atributos de grupo e outros atributos com vrios valores
so replicados no nvel de atributo, em vez do nvel de objeto.
Nas verses anteriores do AD DS, a associao de grupo era
considerada parte do objeto e o grupo seria replicado como
um nico objeto. Isso significava que se dois administradores
alterassem a associao do mesmo grupo no mesmo perodo
de replicao, a ltima gravao venceria. As primeiras alteraes
feitas seriam perdidas, pois a nova verso do grupo substituiria
a anterior completamente. Com replicao de mltiplos valores,
a associao de grupo tratada no nvel de atributo e, portanto,
todas as atualizaes de origem so mescladas em conjunto.
Isso tambm reduz grandemente o trfego de replicao que
ocorreria. Um benefcio adicional disso a remoo da restrio
de associao de grupo anterior que limitava o nmero mximo
de membros a 5.000.

Windows Server 2008

A Replicao de DFS (Sistema de Arquivos Distribudo) est


disponvel como um servio de replicao de arquivo mais
eficiente e robusto para pastas SYSVOL. A Replicao DFS
pode substituir o servio de replicao de arquivos NTFRS.
Uma quantidade grande de informaes de logon interativas
armazenada para cada usurio, em vez de apenas a ltima
hora de logon.
Configuraes de senha refinadas permitem a definio de
polticas de conta para os usurios e grupos, o que substitui
as configuraes de domnio padro para esses usurios
ou membros do grupo.
reas de trabalho virtual pessoais esto disponveis para
que os usurios se conectem usando RemoteApp e rea
de Trabalho Remota.
O suporte dos Servios Avanados de Criptografia (AES 128 e 256)
para o Kerberos est disponvel.
Os controladores de domnio somente leitura (RODCs) fornecem
um modo seguro e econmico de oferecer servios de logon
do AD DS em sites remotos, sem armazenar informaes
confidenciais (como senhas) em ambientes no confiveis.
O Grupo e outros atributos de mltiplos valores so replicados
em um nvel por valor, em vez de serem replicado em conjunto
(o que removeu o limite de 5.000 usurios por grupo).

Configurao de servios avanados do Windows Server 2012

4-11

(continuao)
Nvel funcional do domnio
Windows Server 2008 R2

Recursos
A garantia de mecanismo de autenticao, que empacota as
informaes sobre o mtodo de logon de um usurio, pode
ser usada em conjunto com a autenticao de aplicativo
por exemplo, com os Servios de Federao do Active Directory
(AD FS). Em outro exemplo, um usurio que efetua logon usando
um carto inteligente pode receber acesso para mais recursos
que quando entra com um nome de usurio e senha.
As contas de servio gerenciado permitem que as senhas de conta
sejam gerenciadas pelo sistema operacional Windows e fornecem
o gerenciamento de SPN (nome da entidade de servio).

Windows Server 2012

O nvel funcional de domnio do Windows Server 2012 no


implementa novos recursos do nvel funcional do Windows 2008 R2,
com uma exceo: Se o suporte do centro de distribuio de chaves
(KDC) para declaraes, autenticao composta e proteo Kerberos
estiver configurado para Sempre fornecer declaraes ou Falhar
solicitaes de autenticao desprotegidas, essas funcionalidades
no sero habilitadas at o domnio ser definido com o nvel
Windows Server 2012.

Observao: Geralmente, voc no pode reverter os nveis funcionais de domnio do


AD DS. Porm, no Windows Server 2012 e no Windows Server 2008 R2, voc pode reverter para
um mnimo de Windows Server 2008, desde que no tenha recursos opcionais (como a Lixeira)
habilitados. Se voc implementou um recurso que s est disponvel em um nvel funcional
do domnio mais alto, no poder reverter para um estado anterior.
Leitura adicional: Para saber mais sobre os nveis funcionais de domnio
do AD DS, consulte Noes bsicas sobre nveis funcionais do AD DS em
http://go.microsoft.com/fwlink/?LinkId=270028.

Nveis funcionais de floresta do AD DS


A floresta do AD DS pode ser executada em
nveis funcionais diferentes e, s vezes, aumentar
o nvel funcional da floresta do AD DS torna
mais recursos disponveis. Os recursos adicionais
mais notveis so fornecidos com a atualizao
para um nvel funcional da floresta do
Windows Server 2003. Os recursos adicionais
disponibilizados com o Windows Server 2003
incluem:

Relaes de confiana entre florestas.


As florestas do AD DS podem ter relaes
de confiana configuradas entre elas, o que
permite o compartilhamento de recursos. H relaes de confiana totais e seletivas.

4-12 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Replicao de valores vinculados. Esse recurso melhorou a replicao do Windows 2000 Server
e aprimorou o modo como a associao de grupo era tratada.

Algoritmos de clculo de replicao do AD DS aprimorados. O Knowledge Consistency Checker (KCC)


e o gerador de topologia entre sites (ISTG) usam algoritmos aprimorados para acelerar o clculo da
infraestrutura de replicao do AD DS e fornecem clculos de link de site muito mais rpidos.

Suporte para RODCs. H suporte para RODCs no nvel funcional da floresta do Windows Server 2003.
O RODC deve estar executando o Windows Server 2008 ou mais recente.

Converso de objetos inetOrgPerson em objetos de usurio. Voc pode converter uma instncia
de um objeto inetOrgPerson, usado para compatibilidade com certos servios de diretrio no
Microsoft, em uma instncia de usurio de classe. Voc tambm pode converter um objeto de
usurio em um objeto inetOrgPerson.

Desativao e redefinio de atributos e classes de objetos. Embora voc no possa excluir


um atributo ou classe de objeto no esquema no nvel funcional do Windows Server 2003,
pode desativar ou redefinir os atributos ou as classes de objeto.

O nvel funcional da floresta do Windows Server 2008 no adiciona novos recursos em toda a floresta.
O nvel funcional da floresta do Windows Server 2008 R2 adiciona o recurso Lixeira do Active Directory.
Esse recurso permite a capacidade de restaurar objetos excludos do Active Directory.
Embora o nvel funcional de floresta do AD DS do Windows Server 2008 R2 tenha introduzido a Lixeira
do AD DS, ela tinha que ser gerenciada com o Windows PowerShell. No entanto, a verso de Ferramentas
de Administrao de Servidor Remoto (RSAT) fornecida com o Windows Server 2012 tem a capacidade
de gerenciar a Lixeira do AD DS usando ferramentas de GUI (interface grfica de usurio).
O nvel funcional da floresta do Windows Server 2012 no fornece nenhum recurso novo em toda
a floresta. Quando voc eleva o nvel funcional da floresta, limita possveis nveis funcionais do
domnio a domnios que adiciona floresta. Por exemplo, se voc elevar o nvel funcional de floresta
para Windows Server 2012, no poder adicionar um novo domnio executando o nvel funcional
de domnio do Windows Server 2008 R2.

Atualizao de uma verso anterior do AD DS para o Windows Server 2012


Para atualizar uma verso anterior de AD DS
para o AD DS do Windows Server 2012,
voc pode usar qualquer um dos dois
mtodos seguintes:

Atualizar o sistema operacional


nos controladores de domnio
existentes para Windows Server 2012.

Introduzir servidores do Windows Server 2012


como controladores de domnio no domnio
existente. Voc pode encerrar controladores
de domnio do AD DS que estejam
executando verses anteriores de AD DS.

Configurao de servios avanados do Windows Server 2012

4-13

Desses dois mtodos, o segundo preferencial, pois atualizar sistemas operacionaisespecialmente


em servidores que esto em execuo h anos frequentemente difcil. Ao instalar novos controladores
de domnio que executam o Windows Server 2012, voc ter uma instalao limpa do sistema operacional
Windows Server 2012.
Voc pode implantar servidores do Windows Server 2012 como servidores membros em um
domnio com controladores de domnio que executam o Windows Server 2003 ou verses
mais novas. Porm, antes de poder instalar o primeiro controlador de domnio executando
o Windows Server 2012, voc deve atualizar o esquema. Nas verses do AD DS anteriores ao
Windows Server 2012, voc executaria a ferramenta adprep.exe para executar as atualizaes
de esquema. Quando voc implanta novos controladores de domnio do Windows Server 2012
em um domnio existente, e se voc estiver conectado com uma conta que seja um membro dos
grupos Administradores de Esquema e Administradores de Empresa, o Assistente de Instalao de
Servios de Domnio do Active Directory atualizar o esquema de floresta do AD DS automaticamente.
Observao: O Windows Server 2012 ainda fornece uma verso de 64 bits de ADPrep,
para que voc possa executar Adprep.exe separadamente. Por exemplo, se o administrador
que est instalando o primeiro controlador de domnio do Windows Server 2012 no for um
membro do grupo Administradores de Empresa, talvez seja necessrio executar o comando
separadamente. Voc s ter que executar adprep.exe se estiver planejando uma atualizao
in-loco para o primeiro controlador de domnio do Windows Server 2012 no domnio.

O processo de atualizao
Para atualizar o sistema operacional de um controlador de domnio do Windows Server 2008
para o Windows Server 2012:
1.

Insira o disco de instalao do Windows Server 2012 e execute Setup.

2.

Aps a pgina de seleo de idioma, clique em Instalar agora.

3.

Aps a janela de seleo de sistema operacional e a pgina de aceitao da licena, na janela


Que tipo de instalao voc quer?, clique em Atualizao: Instalar o Windows e manter
arquivos, configuraes e aplicativos.

Com esse tipo de atualizao, o AD DS no controlador de domnio atualizado para o


Windows Server 2012 AD DS. Como prtica recomendada, voc deve verificar a compatibilidade
de hardware e software antes de executar uma atualizao. Aps a atualizao do sistema
operacional, lembre-se de atualizar seus drivers e outros servios (como monitorar os agentes)
e procure atualizaes para aplicativos Microsoft e software no Microsoft.
Observao: Voc pode atualizar diretamente do Windows Server 2008 e do
Windows Server 2008 R2 para o Windows Server 2012. Para atualizar servidores que estejam
executando uma verso do Windows Server mais antiga que o Windows Server 2008, voc deve
executar uma atualizao provisria para o Windows Server 2008 ou Windows Server 2008 R2
ou executar uma instalao limpa. Observe que os controladores de domnio do AD DS do
Windows Server 2012 podem coexistir como controladores de domnio no mesmo domnio
como controladores de domnio do Windows Server 2003 ou mais novo.

4-14 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

O processo instalao limpa


Para introduzir uma instalao limpa do Windows Server 2012 como um membro de domnio:
1.

Implante e configure uma nova instalao do Windows Server 2012 e inclua-a no domnio.

2.

Eleve o novo servidor para ser um controlador de domnio no domnio domnio usando
o Gerenciador do Servidor.

Migrao para o Windows Server 2012 AD DS de uma verso anterior


Como parte da implantao do AD DS, voc
pode optar por reestruturar seu ambiente
devido aos seguintes motivos:

Para otimizar a estrutura lgica do AD DS.


Em algumas organizaes, o negcio
pode ter mudado significativamente
desde que o AD DS foi implantado
pela primeira vez. Por isso, o domnio
ou a estrutura de floresta do AD DS talvez
j no atendam aos requisitos comerciais.

Para ajudar a concluir uma fuso comercial,


aquisio ou alienao.

A reestruturao envolve a migrao de recursos entre domnios do AD DS na mesma floresta ou em


florestas diferentes. No h nenhuma opo disponvel no AD DS para desanexar um domnio de uma
floresta e depois anex-lo a outra floresta. Voc pode renomear e reorganizar domnios dentro de uma
floresta sob algumas circunstncias, mas no h nenhum modo de mesclar domnios facilmente dentro
ou entre florestas. A nica opo para reestruturar um domnio desse modo mover todas as contas
e os recursos de um domnio para outro.
A Microsoft fornece a Ferramenta de Migrao do Active Directory (ADMT) para mover as contas de
usurio, grupo e computador de um domnio para outro e migrar os recursos de servidor. Se gerenciada
atentamente, a migrao pode ser concluda sem interromper o acesso do usurio aos recursos de que
ele precisa para fazer seu trabalho. A ADMT fornece uma GUI e uma interface de script e oferece suporte
s seguintes tarefas para concluir a migrao de domnio:

Migrao de conta de usurio

Migrao de conta de grupo

Migrao de conta de computador

Migrao de conta de servio

Migrao de confiana

Migrao de diretrio do Exchange Server

Converso de segurana em contas de computador migradas

Recursos de relatrio para exibir os resultados da migrao

Funcionalidade para desfazer e repetir a ltima migrao

Configurao de servios avanados do Windows Server 2012

4-15

Etapas de pr-migrao
Antes de executar a migrao, voc deve executar vrias tarefas para preparar os domnios de origem
e destino. Essas tarefas incluem:

Para computadores membros de domnio antes do Windows Vista Service Pack 1 (SP1)
ou Windows Server 2008 R2, configure um registro no controlador de domnio do AD DS
de destino para permitir algoritmos de criptografia que sejam compatveis com o sistema
operacional Microsoft Windows NT Server 4.0.

Habilite regras de firewalls nos controladores de domnio do AD DS de origem e destino para


permitir o compartilhamento de arquivos e impressora.

Prepare os domnios do AD DS de origem e destino para gerenciar o modo como os usurios,


os grupos e os perfis de usurios sero tratados.

Crie um plano de reverso.

Estabelea relaes de confiana que so necessrias para a migrao.

Configure os domnios do AD DS de origem e destino para habilitar a migrao de Histrico SID.

Especifique contas de servio para a migrao.

Execute uma migrao de teste e corrija qualquer erro relatado.

Reestruturao entre florestas com ADMT


Uma reestruturao entre florestas envolve mover recursos de domnios de origem que estejam
em florestas diferentes do domnio de destino. Para usar a ADMT para executar uma reestruturao
entre florestas, faa o seguinte:
1.

2.

Crie um plano de reestruturao. Um plano adequado essencial para xito do processo


de reestruturao. Conclua as seguintes etapas para criar seu plano de reestruturao:
a.

Determine o processo da migrao de conta.

b.

Atribua locais de objeto e mapeamento de local.

c.

Desenvolva um plano de teste.

d.

Crie um plano de reverso.

e.

Criar um plano de comunicao.

Prepare domnios de origem e destino. Voc deve preparar os domnios de origem e destino
para o processo de reestruturao executando as seguintes tarefas:
a.

Assegure a criptografia de 128 bits em todos os controladores de domnio.


O Windows Server 2000 Service Pack 3 (SP3) e as verses mais novas oferecem suporte
nativo criptografia de 128 bits. Para sistemas operacionais mais antigos, voc precisar
baixar e instalar um pacote de criptografia separado.

b.

Estabelea as relaes de confiana necessrias. Voc deve configurar pelo menos uma relao
de confiana unidirecional entre os domnios de origem e destino.

c.

Estabelea contas de migrao. A ADMT usa contas de migrao para migrar objetos entre
domnios de origem e destino. Verifique se essas contas tm permisses para mover e modificar
objetos nos domnios de origem e destino.

4-16 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

3.

4.

5.

d.

Determine se a ADMT tratar o Histrico SID automaticamente ou se voc configurar


os domnios de origem e destino manualmente.

e.

Assegure a configurao apropriada da estrutura de UO do domnio de destino. No se esquea


de configurar os direitos administrativos apropriados e a administrao delegada no domnio
de destino.

f.

Instale a ADMT no domnio de destino.

g.

Habilite a migrao de senha.

h.

Execute uma migrao de teste com um grupo de contas de teste pequeno.

Migre as contas. Execute as seguintes etapas para migrar contas:


a.

Faa a transio de contas de servio.

b.

Migre os grupos globais.

c.

Migre as contas. Migre as contas de usurio e computador em lotes para monitorar


o progresso da migrao. Se voc estiver migrando perfis locais como parte do processo,
migre os computadores afetados primeiro e depois as contas de usurio associadas.

Migre os recursos. Migre os recursos restantes no domnio executando as seguintes etapas:


a.

Migre as estaes de trabalho e os servidores membros.

b.

Migre os grupos locais de domnios.

c.

Migre os controladores de domnio.

Finalize a migrao. Finalize a migrao e execute a limpeza por meio das seguintes etapas:
a.

Transfira os processos de administrao para o domnio de destino.

b.

Assegure que pelo menos dois controladores de domnio operveis existam no domnio
de destino. Faa backup desses controladores de domnio.

c.

Encerre o domnio de origem.

O atributo Histrico SID


Durante a migrao, talvez voc tenha movido as contas de usurio e grupo para o novo domnio, mas
os recursos que os usurios precisam acessar ainda pode estar no domnio antigo. Quando voc migrar
uma conta de usurio, o AD DS atribuir um novo SID a ela. Como o recurso no domnio de origem
concede acesso com base no SID do usurio do domnio de origem, o usurio no pode utilizar
o novo SID para acessar o recurso, at que o recurso seja movido para o novo domnio.
Para resolver essa situao, voc pode configurar a ADMT para migrar o SID do domnio de origem
e depois armazen-lo em um atributo chamado Histrico SID. Quando o atributo Histrico-SID
preenchido, o SID anterior do usurio utilizado para conceder acesso aos recursos no domnio
de origem.
Leitura adicional:

Voc pode baixar a Ferramenta de Migrao do Active Directory verso 3.2


de http://go.microsoft.com/fwlink/?LinkId=270029.

Voc pode baixar o Guia da Ferramenta de Migrao do Active Directory


de http://go.microsoft.com/fwlink/?LinkId=270045.

Configurao de servios avanados do Windows Server 2012

4-17

Lio 3

Configurao de relaes de confiana do AD DS


As relaes de confiana do AD DS permitem o acesso aos recursos em um ambiente complexo
do AD DS. Quando voc implantar um nico domnio, poder conceder acesso aos recursos facilmente
no domnio aos usurios e grupos do domnio. Quando voc implementar vrios domnios ou florestas,
precisar assegurar que as relaes de confiana apropriadas estejam em vigor para permitir o mesmo
acesso aos recursos. Esta lio descreve como as relaes de confiana funcionam em um ambiente
do AD DS e como voc pode configur-las para satisfazer seus requisitos comerciais.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever os tipos de relaes de confiana que voc pode configurar em um ambiente


do Windows Server 2012.

Explicar como as relaes de confiana funcionam em uma floresta do AD DS.

Explicar como as relaes de confiana funcionam entre as florestas do AD DS.

Descrever como configurar relaes de confiana avanadas.

Descrever como configurar uma confiana de floresta.

Viso geral de tipos de confiana diferentes do AD DS


Em uma floresta do AD DS de mltiplos domnios,
as relaes de confiana transitivas bidirecionais
so geradas automaticamente entre os domnios
do AD DS, de modo que h um caminho de
confiana entre todos os domnios do AD DS.
As relaes de confiana que so criadas
automaticamente na floresta so todas
transitivas. Isso significa que, se o domnio
A confia no domnio B e o B confia no C,
o A confia no domnio C.
H outros tipos de confiana que voc pode
implantar. A tabela a seguir descreve os tipos
de confiana principais.
Tipo de relao
de confiana

Transitividade

Direo

Descrio

Pai e filho

Transitiva

Bidirecional

Quando um novo domnio do AD DS


adicionado a uma rvore existente
do AD DS, novas relaes de confiana
de pai e confianas filho so criadas.

Raiz da rvore

Transitiva

Bidirecional

Quando uma nova rvore do AD DS rvore


criada em uma floresta do AD DS existente,
uma nova relao de confiana de raiz da
rvore criada.

4-18 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

(continuao)
Tipo de relao
de confiana

Transitividade

Direo

Descrio

Externo

No transitiva

Unidirecional
ou bidirecional

As relaes de confiana externas permitem


que o acesso ao recurso seja concedido
com um domnio do Windows NT 4.0 ou
um domnio do AD DS em outra floresta.
Elas tambm podem ser configuradas para
fornecer uma estrutura para uma migrao.

Realm

Transitiva ou
no transitiva

Unidirecional
ou bidirecional

As relaes de confiana de realm


estabelecem um caminho de autenticao
entre um domnio do Windows Server AD DS
e um realm Kerberos V5 implementado com
o uso de um servio de diretrio diferente
do AD DS.

Floresta
(Completa
ou Seletiva)

Transitiva

Unidirecional
ou bidirecional

As relaes de confiana entre florestas


do AD DS permitem que duas florestas
compartilhem recursos.

Atalho

No transitiva

Unidirecional
ou bidirecional

As relaes de confiana de atalho


aprimoram os tempos de autenticao
entre os domnios do AD DS que esto em
partes diferentes de uma floresta do AD DS.

Como relaes de confiana funcionam em uma floresta


Quando voc configura relaes de confiana
entre domnios dentro da mesma floresta,
entre florestas ou com um realm externo, as
informaes sobre essas relaes de confiana
so armazenadas no AD DS. Um objeto de
domnio confivel armazena essas informaes.
O objeto de domnio confivel armazena
informaes sobre a relao de confiana,
como a transitividade e o tipo. Sempre que
voc criar uma relao de confiana, um
novo objeto de domnio confivel ser criado
e armazenado no continer System no AD DS.

Configurao de servios avanados do Windows Server 2012

4-19

Como relaes de confiana permitem que usurios acessem recursos


em uma floresta
Quando o usurio no domnio confivel tenta acessar um recurso compartilhado em outro domnio
na floresta, seu computador primeiro contata o controlador de domnio em seu domnio para solicitar
um tquete de sesso para o recurso. Como o recurso no est no domnio do usurio, o controlador
de domnio precisa determinar se uma confiana existe com o domnio de destino. O controlador
de domnio pode usar o objeto de domnio de confiana para verificar se a confiana existe. Porm,
para acessar o recurso, o computador cliente deve se comunicar com um controlador de domnio
em cada domnio ao longo do caminho de confiana. O controlador de domnio no domnio domnio
do computador cliente encaminhar o computador cliente para um controlador de domnio no domnio
prximo domnio ao longo do caminho de confiana. Se esse no for o domnio no qual o recurso
est localizado, esse controlador de domnio encaminhar o computador cliente para um controlador
de domnio no domnio prximo domnio. Consequentemente, o computador cliente ser encaminhado
para um controlador de domnio no domnio domnio onde o recurso est localizado e um tquete
de sesso ser emitido para o cliente acessar o recurso.
O caminho da relao de confiana o caminho mais curto na hierarquia da relao de confiana.
Em uma floresta com apenas as relaes de confiana padro configuradas, o caminho de confiana
subir a rvore de domnio para o domnio raiz da floresta e depois descer essa rvore para o domnio
de destino. Se relaes de confiana de atalho forem configuradas, o caminho de confiana poder
ser um nico salto do domnio de computador cliente para o domnio que contm o recurso.

Como relaes de confiana funcionam entre florestas


Se o ambiente do AD DS contiver mais de
uma floresta, ser possvel configurar relaes
de confiana entre os domnios raiz da floresta
do AD DS. Essas relaes de confiana de floresta
podem ser qualquer confiana em toda a floresta
ou seletivas. As relaes de confiana de floresta
podem ser unidirecionais ou bidirecionais.
As relaes de confianas de floresta tambm
so transitivas para domnios em cada floresta.
Uma relao de confiana de floresta permite que
os usurios que so autenticados por um domnio
em uma floresta acessem recursos que esto em
um domnio na outra floresta, contanto que tenham recebido direitos de acesso. Se a relao de
confiana de floresta for unidirecional, os controladores de domnio na floresta de confiana podero
fornecer tquetes de sesso aos usurios em qualquer domnio na floresta confivel. As relaes de
confiana so significativamente mais fceis de estabelecer, manter e administrar do que as relaes
de confiana separadas entre cada um dos domnios nas florestas.

4-20 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

As relaes de confiana de floresta so particularmente teis em cenrios que envolvem colaborao


entre organizaes ou fuses e aquisies, ou dentro de uma nica organizao que tem mais de uma
floresta na qual isolar dados e servios do Active Directory. As relaes de confiana de floresta tambm
so teis para provedores de servios de aplicativo, para extranet comerciais colaborativas e para
empresas que buscam uma soluo para autonomia administrativa.
As relaes de confiana oferecem as seguintes vantagens:

Gerenciamento simplificado de recursos em duas florestas do Windows Server 2008 (ou verses mais
novas) reduzindo o nmero de relaes de confiana externas necessrio para compartilhar recursos.

Relaes de confiana bidirecionais completas com todos os domnios em cada floresta.

Uso da autenticao UPN em duas florestas.

Uso do protocolo Kerberos V5 para melhorar a confiabilidade dos dados de autorizao transferidos
entre florestas.

Flexibilidade de administrao. As tarefas administrativas podem ser exclusivas a cada floresta.

Voc s pode criar uma confiana de floresta entre duas florestas do AD DS e no pode estender
a confiana implicitamente para uma terceira floresta. Isso significa que, se voc criar uma relao
de confiana de floresta entre a Floresta 1 e a Floresta 2, e criar uma relao de confiana entre a
Floresta 2 e a Floresta 3, a Floresta 1 no ter uma relao de confiana implcita com a Floresta 3.
As relaes de confiana no so transitivas entre vrias florestas.
Voc deve abordar vrios requisitos antes de poder implementar uma relao de confiana, inclusive
o nvel funcional da floresta deve ser Windows Server 2003 ou mais novo e voc deve ter a resoluo
de nomes DNS entre as florestas.

Definio das configuraes de confiana avanadas do AD DS


Em alguns casos, as relaes de confiana
podem representar riscos segurana. Alm
disso, se voc no configurar uma relao
de confiana corretamente, os usurios que
pertencem a outro domnio podero obter
acesso indesejvel a alguns recursos. H vrias
tecnologias que voc pode usar para ajudar
a controlar e gerenciar a segurana em uma
relao de confiana.

Configurao de servios avanados do Windows Server 2012

4-21

Filtragem de SID
Por padro, quando voc estabelece uma relao de confiana de floresta ou domnio, habilita uma
quarentena de domnio que tambm conhecida como filtragem de SID. Quando um usurio se
autentica em um domnio confivel, o usurio apresenta dados de autorizao que incluem os SIDs
de todos os grupos aos quais o usurio pertence. Alm disso, os dados de autorizao do usurio
incluem SIDs de outros atributos do usurio e dos grupos do usurio.
O AD DS define a filtragem de SID por padro para impedir que os usurios que tm acesso ao nvel
do domnio ou de administrador da empresa em uma floresta ou domnio confivel concedam (a eles
mesmos ou a outras contas de usurio na floresta ou domnio) direitos de usurio elevados para uma
floresta ou domnio de confiana. A filtragem de SID impede o uso incorreto dos atributos que contm
SIDs em entidades de segurana na floresta ou domnio confivel.
Um exemplo comum de um atributo que contm um SID o atributo Histrico SID (SIDHistory) em
um objeto de conta de usurio. Os administradores de domnio geralmente usam o atributo Histrico
SID para migrar as contas de usurio e grupo que so mantidas por uma entidade de segurana de
um domnio para outro.
Em um cenrio de domnio confivel, possvel que um administrador possa usar credenciais
administrativas no domnio confivel para carregar os SIDs que so iguais aos SIDs de contas privilegiadas
em seu domnio no atributo SIDHistory de um usurio. Esse usurio ter nveis inadequados de acesso
aos recursos no seu domnio. A filtragem de SID impede isso permitindo que o domnio de confiana
filtre SIDs do domnio confivel que no so os SIDs primrios de entidades de segurana. Cada SID
inclui o SID do domnio de origem, portanto, quando um usurio de um domnio confivel apresenta
a lista de SIDs do usurio e os SIDs de grupos de usurios, a filtragem de SID instrui o domnio de
confiana a descartar todos os SIDs sem o SID de domnio do domnio confivel. A filtragem de SID
habilitada por padro para todas as relaes de confiana de sada para domnios e florestas externos.

Autenticao seletiva
Quando voc cria uma relao de confiana externa ou de floresta, pode gerenciar o escopo
de autenticao de entidades de segurana confiveis. H dois modos de autenticao para
uma relao de confiana externa ou de floresta:

A autenticao em todo o domnio (para uma confiana externa) ou a autenticao em toda


a floresta (para uma confiana de floresta)

Autenticao seletiva

Se voc escolher a autenticao em todo o domnio ou em toda a floresta, isso permitir que todos
os usurios confiveis se autentiquem nos servios e acesso em todos os computadores no domnio
de confiana. Assim, usurios confiveis podem receber permisso para acessar recursos em qualquer
lugar no domnio de confiana. Se voc usar esse modo de autenticao, todos os usurios de um
domnio ou floresta confivel sero considerados Usurios Autenticados no domnio de confiana. Assim,
se voc escolher autenticao em todo o domnio ou floresta, qualquer recurso que tenha permisses
concedidas a Usurios Autenticados ficar imediatamente acessvel aos usurios de domnio confivel.
Porm, se voc escolher autenticao seletiva, todos os usurios no domnio confivel sero identidades
confiveis. No entanto, eles s podem se autenticar para servios em computadores especificados por
voc. Por exemplo, imagine que voc tem uma relao de confiana externa com o domnio de uma
organizao de parceiro. Voc deseja assegurar que apenas os usurios da organizao de parceiro
do grupo de marketing possam acessar pastas compartilhadas em somente um de seu muitos servidores
de arquivos. Voc pode configurar a autenticao seletiva para a relao de confiana e depois atribuir
aos usurios confiveis o direito de autenticao apenas para esse servidor de arquivos.

4-22 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Roteamento de sufixo de nome


O roteamento de sufixo de nome um mecanismo para gerenciar a forma como as solicitaes de
autenticao so roteadas entre as florestas que executam o Windows Server 2003 ou mais novo unidas
por relaes de confiana de floresta. Para simplificar a administrao das solicitaes de autenticao,
quando uma relao de confiana de floresta criada, todos os sufixos de nome exclusivos so roteados
pelo AD DS por padro. Um sufixo de nome exclusivo um sufixo de nome em uma florestacomo sufixo
UPN, sufixo SPN ou floresta DNS ou nome de rvore de domnioque no est subordinado a nenhum
outro sufixo de nome. Por exemplo, o nome de floresta DNS fabrikam.com um sufixo de nome exclusivo
dentro da floresta fabrikam.com.
O AD DS roteia todos os nomes subordinados a sufixos de nome exclusivo implicitamente. Por exemplo,
se sua floresta usa fabrikam.com como um sufixo de nome exclusivo, as solicitaes de autenticao para
todos os domnios filho de fabrikam.com (childdomain.fabrikam.com) so roteadas, pois os domnios filho
fazem parte do sufixo de nome fabrikam.com. Nomes filho aparecem no snap-in Domnios e Relaes
de Confiana do Active Directory. Se voc quiser excluir os membros de um domnio filho da autenticao
na floresta especificada, poder desabilitar o roteamento de sufixo de nome para esse nome. Voc
tambm pode desabilitar roteamento para o prprio nome da floresta.

Demonstrao: Configurao de uma relao de confiana de floresta


Nesta demonstrao, voc ver como:

Configurar a resoluo de nomes DNS usando um encaminhador condicional.

Configurar uma relao de confiana de floresta seletiva bidirecional.

Etapas da demonstrao
Configurar a resoluo de nomes DNS usando um encaminhador condicional

Configure a resoluo de nomes DNS entre adatum.com e treyresearch.net criando um


encaminhador condicional de forma que LON-DC1 tenha uma referncia para MUN-DC1
como o servidor DNS para o domnio DNS treyresearch.net.

Configurar uma relao de confiana de floresta seletiva bidirecional

Em LON-DC1, em Domnios e Relaes de Confiana do Active Directory, crie uma relao


de confiana de floresta seletiva bidirecional entre adatum.com e treyresearch.net,
fornecendo as credenciais da conta de Administrador do domnio treyresearch.net.

Configurao de servios avanados do Windows Server 2012

4-23

Laboratrio: Implementao de implantaes


do AD DS distribudas
Cenrio
A A. Datum Corporation implantou um nico domnio do AD DS com todos os controladores de domnio
localizados no data center de Londres. Como a empresa cresceu e adicionou filiais com grandes nmeros
de usurios, cada vez mais evidente que o ambiente do AD DS atual no est atendendo aos requisitos
da empresa. A equipe de rede est preocupada com a quantidade de trfego de rede relacionado
ao AD DS que est passando pelos links de WAN, que esto se tornando altamente utilizados.
A empresa tambm est cada vez mais integrada com organizaes de parceiro, alguns dos quais
precisam de acesso a recursos e aplicativos compartilhados que esto localizados na rede interna
da A. Datum. O departamento de segurana na A. Datum deseja assegurar que o acesso para esses
usurios externos seja o mais seguro possvel.
Como um dos administradores de rede seniores na A. Datum, voc responsvel por implementar
uma infraestrutura do AD DS que atenda aos requisitos da empresa. Voc responsvel por planejar
uma implantao de domnio e floresta do AD DS que fornecer timos servios para usurios
internos e externos, ao mesmo tempo em que resolve os requisitos de segurana da A. Datum.

Objetivos

Implementar domnios filho no AD DS.

Implementar relaes de confiana de floresta no AD DS.

Configurao do laboratrio
Tempo previsto: 45 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-TOR-DC1
24412B-LON-SVR1
24412B-MUN-DC1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:


o

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

5.

Repita as etapas 2 a 4 para 24412B-LON-SVR1 e 24412B-TOR-DC1.

6.

Inicie 24412B-MUN-DC1 e entre como Treyresearch\Administrador com a senha Pa$$w0rd.

4-24 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

Exerccio 1: Implementao de domnios filho no AD DS


Cenrio
A A. Datum decidiu implantar um novo domnio na floresta de adatum.com para a regio da
Amrica do Norte. O primeiro controlador de domnio ser implantado em Toronto e o nome
de domnio ser na.adatum.com. Voc precisa configurar e instalar o novo controlador de domnio.
As principais tarefas deste exerccio so:
1.

Configurao do DNS (Sistema de Nomes de Domnio) para a delegao de domnio.

2.

Instalar um controlador de domnio em um domnio filho.

3.

Verificar a configurao de confiana padro.

Tarefa 1: Configurao do DNS (Sistema de Nomes de Domnio) para a delegao


de domnio

No LON-DC1, abra o Gerenciador DNS e configure um registro de zona delegada para


na.adatum.com. Especifique TOR-DC1 como o servidor DNS com autoridade.

Tarefa 2: Instalar um controlador de domnio em um domnio filho


1.

Em TOR-DC1, use o Gerenciador do Servidor para instalar o AD DS.

2.

Aps a instalao dos binrios do AD DS, use o Adicionar recursos que so necessrios
para servios de Domnio Active Directory? para instalar e configurar TOR-DC1 como um
controlador de domnio do AD DS para um novo domnio filho chamado na.adatum.com.

3.

Quando solicitado, use Pa$$w0rd como senha do Modo de Restaurao dos Servios
de Diretrio (DSRM).

Tarefa 3: Verificar a configurao de confiana padro


1.

Entre em TOR-DC1 como NA\Administrador usando a senha Pa$$w0rd.

2.

Quando o Gerenciador do Servidor for aberto, clique em Servidor Local. Verifique se Firewall
do Windows mostra Domnio: Ativado. Se no mostrar, ao lado de Conexo Local, clique em
172.16.0.25, IPv6 habilitado. Clique com o boto direito do mouse do mouse em Conexo Local
e clique em Desativar. Clique com o boto direito do mouse do mouse em Conexo Local e clique
em Ativer. Agora, a Conexo Local deve mostrar Adatum.com.

3.

No Gerenciador do Servidor, inicie o console de gerenciamento de Domnios e Relaes


de confiana do Active Directory e verifique as relaes de confiana pai-filho.

Observao: Se voc receber uma mensagem informando que a relao de confiana no pode ser
validada ou que a verificao de canal de segurana (SC) falhou, assegure que voc concluiu a etapa 2
e aguarde pelo menos 10 a 15 minutos. Voc pode continuar com o laboratrio e voltar depois para
verificar essa etapa.

Resultados: Aps a concluso deste exerccio, voc ter implementado domnios filho no AD DS.

Configurao de servios avanados do Windows Server 2012

4-25

Exerccio 2: Implementao de relaes de confiana entre florestas


Cenrio
A A. Datum est trabalhando em vrios projetos de alta prioridade com uma organizao de parceiro
chamada Trey Research. Para simplificar o processo de habilitar o acesso aos recursos localizado nas
duas organizaes, eles implantaram uma WAN dedicada entre Londres e Munique, onde a Trey Research
est localizada. Voc precisa implementar e validar uma relao de confiana de floresta entre as
duas florestas agora e configurar essa relao de confiana para permitir acesso apenas a servidores
selecionados em Londres.
As principais tarefas deste exerccio so:
1.

Configurar zonas de stub para resoluo de nomes DNS.

2.

Configurar uma relao de confiana de floresta com autenticao seletiva.

3.

Configurar um servidor para autenticao seletiva.

Tarefa 1: Configurar zonas de stub para resoluo de nomes DNS


1.

Entre em LON-DC1 como Adatum\Administrador com a senha Pa$$w0rd.

2.

Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para treyresearch.net.

3.

Use 172.16.10.10 como o servidor DNS Mestre.

4.

Feche o Gerenciador DNS.

5.

Entre em MUN-DC1 como TreyResearch\Administrador com a senha Pa$$w0rd.

6.

Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para adatum.com.

7.

Use 172.16.0.10 como o servidor DNS Mestre.

8.

Feche o Gerenciador DNS.

Tarefa 2: Configurar uma relao de confiana de floresta com autenticao seletiva


1.

Em LON-DC1, crie uma relao de confiana de sada unidirecional entre a floresta do


AD DS treyresearch.net e a floresta adatum.com. Configure a relao de confiana para
usar a Autenticao seletiva.

2.

Em LON-DC1, confirme e valide a relao de confiana de treyresearch.net.

3.

Feche Domnios e relaes de confiana do Active Directory.

Tarefa 3: Configurar um servidor para autenticao seletiva


1.

Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.

2.

Em LON-SVR1, configure os membros do grupo IT (TREYRESEARCH\IT) com a permisso


Permitido autenticar. Se suas credenciais forem solicitadas, digite Treyresearch\administrador
com a senha Pa$$w0rd.

3.

Em LON-SVR1, crie uma pasta compartilhada chamada IT-Data, e conceda acesso de Leitura
e gravao aos membros do grupo treyresearch\it. Se suas credenciais forem solicitadas, digite
Treyresearch\administrador com a senha Pa$$w0rd.

4-26 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory

4.

Saia de MUN-DC1.

5.

Entre em MUN-DC1 como treyresearch\alice com a senha Pa$$w0rd e verifique se voc tem
acesso pasta compartilhada em LON-SVR1.

Resultados: Depois de concluir este exerccio, voc ter implementado relaes de confiana de floresta.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-TOR-DC1, 24412B-MUN-DC1 e 24412B-LON-SVR1.

Configurao de servios avanados do Windows Server 2012

Reviso e informaes complementares do mdulo


Problemas comuns e dicas de soluo de problemas
Problema comum
Voc recebe mensagens de erro como: falha
de pesquisa de DNS, servidor RPC no disponvel,
o domnio no existe, no foi possvel encontrar
o controlador de domnio.

O usurio no pode ser autenticado para acessar


recursos em outro domnio do AD DS ou realm
Kerberos.

Dica para a soluo de problemas

4-27

5-1

Mdulo 5
Implementao de sites e da replicao dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo

5-1

Lio 1: Viso geral da replicao do AD DS

5-2

Lio 2: Configurao de sites do AD DS

5-11

Lio 3: Configurao e monitoramento da replicao do AD DS

5-20

Laboratrio: Implementao de sites e replicao do AD DS

5-28

Reviso e informaes complementares do mdulo

5-33

Viso geral do mdulo


Quando voc implanta o AD DS (Servios de Domnio do Active Directory), importante fornecer
uma infraestrutura de logon eficiente e um servio de diretrio altamente disponvel. A implementao
de vrios controladores de domnio na infraestrutura ajuda a atender a esses dois objetivos. Porm,
voc deve assegurar que o AD DS replique informaes do Active Directory entre cada controlador de
domnio na floresta. Neste mdulo, voc saber como o AD DS replica informaes entre controladores
de domnio dentro de um nico site e entre vrios sites. Voc tambm saber como criar vrios sites
e monitorar a replicao para ajudar a otimizar o trfego de autenticao e replicao do AD DS.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever como funciona a replicao do AD DS.

Configurar sites do AD DS para ajudar a otimizar o trfego de autenticao e replicao.

Configurar e monitorar a replicao do AD DS.

5-2

Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Lio 1

Viso geral da replicao do AD DS


Dentro de uma infraestrutura AD DS, os controladores de domnio padro replicam informaes do
Active Directory usando um modelo de replicao de vrios mestres. Isso significa que, se for feita uma
alterao em um controlador de domnio, essa alterao ser replicada em todos os outros controladores
do domnio, e provavelmente em todos os controladores de domnio da floresta inteira. Esta lio fornece
uma viso geral de como o AD DS replica informaes entre controladores de domnio padro e somente
leitura (RODCs).

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever as parties do AD DS.

Descrever as caractersticas da replicao do AD DS.

Descrever o processo de replicao dentro de um nico site.

Descrever como o AD DS resolve conflitos de replicao.

Descrever como voc gera a topologia de replicao.

Descrever como funciona a replicao de controladores de domnio somente leitura.

Descrever a replicao SYSVOL.

O que so parties do AD DS?


O repositrio de dados do Active Directory
contm informaes que o AD DS distribui
a todos os controladores de domnio na
infraestrutura da floresta. A maior parte
das informaes que o repositrio de dados
contm distribuda dentro de um nico
domnio. Entretanto, algumas informaes
podem estar relacionadas floresta inteira,
independentemente dos limites do domnio,
e replicadas nela.

Configurao de servios avanados do Windows Server 2012

5-3

Para ajudar a fornecer eficincia e escalabilidade de replicao entre controladores de domnio, os dados
do Active Directory so separados logicamente em vrias parties. Cada partio uma unidade de
replicao, e cada uma delas tem sua prpria topologia de replicao. As parties padro incluem as
seguintes:

Partio de configurao. A partio de configurao criada automaticamente quando voc cria o


primeiro domnio de uma floresta. A partio de configurao contm informaes sobre a estrutura
do AD DS na floresta, inclusive quais domnios e sites existem e quais controladores de domnio
existem em cada domnio. A partio de configurao tambm armazena informaes sobre servios
de toda a floresta, como autorizao do protocolo DHCP e modelos de certificados. Essa partio
replicada em todos os controladores de domnio da floresta.

Partio de esquema. Contm definies de todos os objetos e atributos que voc pode criar no
repositrio de dados, alm das regras para cri-los e manipul-los. As informaes de esquema
so replicadas em todos os controladores de domnio da floresta. Portanto, todos os objetos devem
estar em conformidade com as regras de definio de atributos e objetos de esquema. O AD DS
contm um conjunto padro de classes e atributos que voc no pode modificar. Porm, se voc
tiver credenciais de Administradores de Esquema, poder estender o esquema adicionando novos
atributos e classes para representar classes especficas ao aplicativo. Muitos aplicativos, como o
Microsoft Exchange Server e o Microsoft System Center Configuration Manager, podem estender
o esquema para oferecer aprimoramentos de configurao especficos ao aplicativo. Essas alteraes
se destinam ao controlador de domnio que contm a funo de mestre de esquema da floresta.
Somente o mestre de esquema est autorizado a fazer acrscimos a classes e atributos.

Partio de domnio. Quando voc cria um novo domnio, o AD DS automaticamente cria e replica
uma instncia da partio de domnio em todos os controladores no domnio. A partio de domnio
contm informaes sobre todos os objetos especficos ao domnio, incluindo usurios, grupos,
computadores, UOs (unidades organizacionais) e configuraes do sistema relacionadas ao domnio.
Todos os objetos em cada partio de domnio em uma floresta so armazenados no catlogo global,
com apenas um subconjunto de seus valores de atributo.

Partio de aplicativo. A partio de aplicativo armazena as informaes relacionadas ao aplicativo


e no ao domnio que podem ter tendncia a serem atualizadas com frequncia ou ter uma vida
til especificada. Um aplicativo normalmente programado para determinar como armazena,
categoriza e usa informaes especficas ao aplicativo que so armazenadas no banco de dados
do Active Directory. Para evitar a replicao desnecessria de uma partio de aplicativo, voc
pode determinar quais controladores de domnio em uma floresta hospedaro a partio do
aplicativo especfico. Ao contrrio de uma partio de domnio, uma partio de aplicativo no
armazena objetos de entidades de segurana, como contas de usurio. Alm disso, o catlogo
global no armazena dados contidos em parties de aplicativo.

Observao: Voc pode usar o Editor do Active Directory Service Interfaces (Editor ADSI)
para se conectar e exibir as parties.

5-4

Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Caractersticas da replicao do AD DS
Um design de replicao do AD DS eficiente
assegura que cada partio em um controlador
de domnio esteja consistente com as rplicas
dessa partio que so hospedadas em outros
controladores de domnio. Em geral, nem todos
os controladores de domnio tm exatamente
as mesmas informaes em suas rplicas no
mesmo momento, j que ocorrem alteraes
constantes na direo. Porm, a replicao do
Active Directory assegura que todas as alteraes
em uma partio sejam transferidas para todas
as rplicas da partio. A replicao do Active
Directory equilibra preciso (ou integridade) e consistncia (chamada de convergncia) com desempenho,
mantendo o trfego de replicao em um nvel razovel.
As principais caractersticas da replicao do Active Directory so:

Replicao de vrios mestres. Qualquer controlador de domnio, exceto RODCs, pode iniciar
e confirmar uma alterao no AD DS. Isso oferece tolerncia a falhas e elimina a dependncia
em um nico controlador de domnio para manter as operaes do repositrio do diretrio.

Replicao pulls. Um controlador de domnio solicita alteraes (ou efetua pulls) de outros
controladores de domnio. Embora um controlador de domnio possa notificar seus parceiros
de replicao de que ele tem alteraes no diretrio, ou sondar seus parceiros para ver se eles
tm alteraes no diretrio, no final, o controlador de domnio de destino solicita e efetua pull
das prprias alteraes.

Replicao do tipo armazenar e encaminhar. Um controlador de domnio pode efetuar pull das
alteraes de um parceiro e, em seguida, tornar essas alteraes disponveis para outro parceiro.
Por exemplo, o controlador de domnio B pode efetuar pull das alteraes iniciadas pelo controlador
de domnio A. Em seguida, o controlador de domnio C pode efetuar pull das alteraes do
controlador de domnio B. Isso ajuda a equilibrar a carga de replicao para domnios que
contm vrios controladores de domnio.

Particionamento do repositrio de dados. Os controladores de um domnio hospedam o contexto


de nomeao para seus domnios, o que ajuda a minimizar a replicao, principalmente em florestas
de vrios domnios. Os controladores de domnio tambm hospedam cpias de esquema e parties
de configurao, que so replicadas em toda a floresta. Entretanto, as alteraes em parties de
configurao e esquema muito menos frequente do que na partio de domnio. Por padro,
outros dados, incluindo parties do diretrio de aplicativos e o conjunto de atributos parcial
(catlogo global), no so replicados em cada controlador de domnio da floresta.

Configurao de servios avanados do Windows Server 2012

5-5

Gerao automtica de uma topologia de replicao eficiente e robusta. Por padro, o AD DS


configura uma topologia de replicao bidirecional eficiente, de forma que a perda de um
controlador de domnio no impede a replicao. O AD DS atualiza automaticamente essa topologia
medida que controladores de domnio so adicionados, removidos ou movidos entre sites.

Replicao em nvel de atributo. Quando um atributo de um objeto alterado, somente esse atributo
e metadados mnimos que descrevem o atributo so replicados. No replicado o objeto inteiro,
exceto na ocasio de sua criao inicial.

Controle distinto da replicao intra-site e da replicao entre sites. Voc pode controlar a replicao
dentro de um nico site e entre sites.

Deteco de coliso e gerenciamento. Em raras ocasies, voc pode modificar um atributo em dois
controladores de domnio diferentes durante uma nica janela de replicao. Se isso ocorrer, voc
dever reconciliar as duas alteraes. O AD DS tem algoritmos de resoluo que satisfazem quase
todos os cenrios.

Como funciona a replicao do AD DS dentro de um site


A replicao do AD DS dentro de um nico site,
que ocorre automaticamente, chamada de
replicao intra-site. Entretanto, voc tambm
pode configur-la para ocorrer manualmente,
conforme necessrio. Os seguintes conceitos
esto relacionados replicao intra-site:

Objetos de conexo

O Knowledge Consistency Checker

Notificao

Sondagem

Objetos de conexo
Um controlador de domnio que replica alteraes de outro controlador de domnio chamado de
parceiro de replicao. Os parceiros de replicao so vinculados por objetos de conexo. Um objeto
de conexo representa um caminho de replicao de um controlador de domnio para outro.
Os objetos de conexo so unidirecionais, representando a replicao pulls somente de entrada.
Para exibir e configurar objetos de conexo, abra Servios e Sites do Active Directory e selecione o
continer Configuraes de NTDS do objeto de servidor de um controlador de domnio. Voc pode
forar a replicao entre dois controladores de domnio clicando com o boto direito do mouse no
objeto de conexo e selecionando Replicar Agora. Observe que a replicao somente de entrada,
portanto, se voc desejar replicar ambos os controladores de domnio, precisar replicar o objeto
de conexo de entrada de cada controlador de domnio.

5-6

Implementao de sites e da replicao dos Servios de Domnio do Active Directory

O Knowledge Consistency Checker


Os caminhos de replicao que so criados entre os controladores de domnio por objetos de
conexo criam a topologia de replicao da floresta. Voc no precisa criar a topologia de replicao
manualmente. Por padro, o AD DS cria uma topologia que assegura a replicao eficiente. A topologia
bidirecional, o que significa que, se qualquer controlador de domnio falhar, a replicao continuar
sem interrupo. A topologia tambm assegura que no haja mais de trs saltos entre dois controladores
de domnio.
Em cada controlador de domnio, um componente do AD DS chamado KCC (Knowledge Consistency
Checker) ajuda a gerar e otimizar a replicao automaticamente entre os controladores de domnio de
um site. O KCC avalia os controladores de domnio em um site e, em seguida, cria objetos de conexo
para criar a topologia bidirecional de trs saltos descrita anteriormente. Se voc adicionar ou remover um
controlador de domnio, ou se um controlador de domnio no estiver respondendo, o KCC reorganizar
a topologia dinamicamente, adicionando e excluindo objetos de conexo para recriar uma topologia
de replicao eficiente. O KCC executado em intervalos especificados (a cada 15 minutos, por padro)
e determina as rotas de replicao entre os controladores de domnio que so as conexes mais
favorveis disponveis no momento.
Voc pode criar objetos de conexo manualmente para especificar os caminhos de replicao que devem
persistir. Porm, em geral, criar um objeto de conexo manualmente no necessrio nem recomendado,
pois o KCC no verifica nem usa o objeto de conexo manual para failover. O KCC tambm no remover
objetos de conexo manuais, o que significa que voc deve se lembrar de excluir os objetos de conexo
que criar manualmente.

Notificao
Quando feita uma alterao em uma partio do Active Directory em um controlador de domnio,
este coloca a alterao na fila para replicao em seus parceiros. Por padro, o servidor de origem
espera 15 segundos para notificar seu primeiro parceiro de replicao da alterao. Notificao o
processo pelo qual um parceiro upstream informa seus parceiros downstream de que uma alterao est
disponvel. Por padro, o controlador de domnio de origem aguarda trs segundos entre as notificaes
a parceiros adicionais. Esses atrasos, chamados de atraso de notificao inicial e atraso de notificao
subsequente, foram projetados para coordenar o trfego de rede que a replicao intra-site pode gerar.
Ao receber a notificao, o parceiro downstream solicita as alteraes do controlador de domnio de
origem, e o agente de replicao de diretrio efetua pull das alteraes do controlador de domnio de
origem. Por exemplo, suponha que o controlador de domnio DC01 inicialize uma alterao no AD DS.
Quando o DC02 receber a alterao do DC01, ele far a alterao em seu diretrio. O DC02 colocar
ento a alterao na fila para replicao em seus prprios parceiros downstream.
Em seguida, suponha que o DC03 seja um parceiro de replicao downstream do DC02. Depois de
15 segundos, o DC02 notifica o DC03 de que tem uma alterao. O DC03 faz a alterao replicada em
seu diretrio e, em seguida, notifica seus parceiros downstream. A alterao faz dois saltos, de DC01
para DC02 e de DC02 para DC03. A topologia de replicao assegura que no ocorram mais de trs
saltos antes de todos os controladores de domnio do site receberem a alterao. Em aproximadamente
15 segundos por salto, a alterao replicada completamente no site dentro de um minuto.

Configurao de servios avanados do Windows Server 2012

5-7

Sondagem
s vezes, um controlador de domnio pode no fazer nenhuma alterao em suas rplicas durante
um tempo prolongado, particularmente durante as horas de menor movimento. Suponha que seja
esse o caso com o DC01. Isso significa que o DC02, seu parceiro de replicao downstream, no
receber notificaes do DC01. O DC01 tambm pode estar offline, o que o impediria de enviar
notificaes ao DC02.
importante o DC02 saber que seu parceiro upstream est online e simplesmente no tem nenhuma
alterao. Isso obtido por um processo chamado de sondagem. Durante a sondagem, o parceiro de
replicao downstream entra em contato com o parceiro de replicao upstream com consultas quanto
ao enfileiramento de alteraes para replicao. Por padro, o intervalo de sondagem para a replicao
intra-site uma vez por hora. Voc pode configurar a frequncia de sondagem nas propriedades de
um objeto de conexo clicando em Alterar Agendamento, embora isso no seja recomendado. Se um
parceiro upstream no responder a repetidas consultas de sondagem, o parceiro downstream iniciar
o KCC para verificar a topologia de replicao. Se o servidor upstream realmente estiver offline, o KCC
reorganizar a topologia de replicao do site para acomodar a alterao.

Resoluo de conflitos de replicao


Como o AD DS d suporte a um modelo de
replicao de vrios mestres, podem ocorrer
conflitos de replicao. Normalmente, h trs
tipos de conflitos de replicao que podem
ocorrer no AD DS:

Modificar simultaneamente o mesmo


valor de atributo do mesmo objeto
em dois controladores de domnio.

Adicionar ou modificar o mesmo objeto em


um controlador de domnio ao mesmo tempo
que o objeto continer do objeto excludo
em outro controlador de domnio.

Adicionar objetos com o mesmo nome diferenciado relativo no mesmo continer.

Para ajudar a minimizar conflitos, todos os controladores de domnio na floresta registram e replicam
alteraes de objetos no nvel de atributo em vez de no nvel de objeto. Portanto, as alteraes em dois
atributos diferentes de um objeto, como a senha e o CEP do usurio, no causar um conflito mesmo
que voc os altere ao mesmo tempo de locais diferentes.
Quando uma atualizao de origem aplicada a um controlador de domnio, criado um carimbo que
viaja com a atualizao enquanto replicado em outros controladores de domnio. O carimbo contm
os seguintes componentes:

Nmero de verso. O nmero de verso inicia em um para cada atributo de objeto e aumenta em
um para cada atualizao. Ao executar uma atualizao de origem, a verso do atributo atualizado
um nmero mais alto que a verso do atributo que est sendo substitudo.

Carimbo de data/hora. O carimbo de data/hora a data e hora de origem da atualizao,


de acordo com o relgio do sistema do controlador de domnio onde a alterao feita.

GUID (identificador global exclusivo) do servidor. O GUID do servidor identifica o controlador


de domnio que executou a atualizao de origem.

5-8

Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Conflitos comuns de replicao


A tabela a seguir descreve vrios conflitos, alm de como o AD DS resolve o problema.
Conflito

Soluo

Valor do atributo

Se o valor do nmero de verso for igual, mas o valor do atributo


for diferente, o carimbo de data/hora ser avaliado. A operao
de atualizao que tiver o valor de carimbo mais alto substituir
o valor de atributo da operao de atualizao pelo valor de
carimbo inferior.

Adicionar ou mover em
um objeto continer
excludo, ou a excluso
de um objeto continer

Depois que a resoluo ocorre em todas as rplicas, o AD DS exclui


o objeto continer, e o objeto folha torna-se um filho do continer
LostAndFound especial da pasta. No so envolvidos carimbos nesta
resoluo.

Adicionar objetos
com o mesmo nome
diferenciado relativo

O objeto com o carimbo maior mantm o nome diferenciado


relativo. O AD DS atribui ao objeto irmo um nome diferenciado
relativo exclusivo do controlador de domnio. A atribuio de nome
o nome diferenciado relativo + CNF: + um caractere reservado
(o asterisco) + o GUID do objeto. Essa atribuio de nome assegura
que o nome gerado no esteja em conflito com qualquer outro
nome do objeto.

Como a topologia de replicao gerada


A topologia de replicao a rota pela qual
os dados de replicao percorrem uma rede.
Para criar uma topologia de replicao, o AD DS
deve determinar quais controladores de domnio
replicam dados com outros controladores
de domnio. O AD DS cria uma topologia de
replicao baseada nas informaes que o AD DS
contm. Como cada partio do AD DS pode ser
replicada em controladores de domnio diferentes
em um site, a topologia de replicao pode diferir
em termos de esquema, configurao, domnio
e parties de aplicativo.
Como todos os controladores de domnio de uma mesma floresta compartilham parties de
esquema e configurao, o AD DS replica o esquema e as parties em todos os controladores de
domnio. Os controladores de domnio no mesmo domnio tambm replicam a partio de domnio.
Alm disso, os controladores de domnio que hospedam uma partio de aplicativo tambm replicam
a partio. Para otimizar o trfego da replicao, um controlador de domnio pode ter vrios parceiros
de replicao para parties diferentes. Em um nico site, a topologia de replicao ser tolerante
a falhas e redundante. Isso significa que, se o site contiver mais de dois controladores de domnio,
cada controlador ter pelo menos dois parceiros de replicao para cada partio do AD DS.

Configurao de servios avanados do Windows Server 2012

5-9

Como as parties de esquema e configurao so replicadas


A replicao das parties de esquema e configurao segue o mesmo processo que todas as outras
parties de diretrio. Entretanto, como essas parties so em nvel de floresta em vez de em nvel de
domnio, os objetos de conexo dessas parties podem existir entre quaisquer dois controladores de
domnio, independentemente do domnio do controlador. Alm disso, a topologia de replicao dessas
parties inclui todos os controladores de domnio da floresta.

Como o catlogo global afeta a replicao


A partio de configurao contm informaes sobre a topologia do site e outros dados globais de
todos os domnios que so os membros da floresta. O AD DS replica a partio de configurao em todos
os controladores de domnio por meio da replicao em toda a floresta. Cada servidor de catlogo global
obtm informaes do domnio procurando o controlador desse domnio e obtendo as informaes
sobre a rplica parcial. A partio de configurao tambm oferece aos controladores de domnio uma
lista dos servidores de catlogo global da floresta.
Os servidores de catlogo global armazenam registros do servio DNS na zona DNS que corresponde ao
domnio raiz da floresta. Esses registros, que so armazenados somente na zona DNS da raiz da floresta,
ajudam os clientes e os servidores a localizar servidores de catlogo global em toda a floresta para
oferecer servios de logon de clientes.

Como a replicao RODC funciona


Como mencionado anteriormente, os
controladores de domnio replicam dados
efetuando pull das alteraes de outros
controladores de domnio de origem. Um
RODC no permite que nenhuma alterao
no replicada seja gravada em seu banco de
dados, e nunca replica informaes em outros
controladores de domnio. Como as alteraes
nunca so gravadas em um RODC diretamente,
outros controladores de domnio no precisam
efetuar pull das alteraes de diretrio de um
RODC. Restringir os RODCs de originar alteraes
impede que provveis alteraes ou danos de um usurio ou aplicativo mal-intencionado sejam
replicados no restante da floresta.
Quando um usurio ou aplicativo tenta executar uma solicitao de gravao a um RODC, um das
seguintes aes geralmente ocorre:

O RODC encaminha a solicitao de gravao a um controlador de domnio gravvel, que depois


a replica no RODC. Exemplos desse tipo de solicitao incluem alteraes de senha, atualizaes de
SPN (nome de entidade de servio) e alteraes de atributos de membros do computador\domnio.

O RODC responde ao cliente e fornece uma indicao de um controlador de domnio gravvel.


O aplicativo pode ento se comunicar diretamente com um controlador de domnio gravvel.
As atualizaes de protocolo LDAP e registro DNS so exemplos de indicaes de RODC aceitveis.

A operao de gravao falha porque ela no indicada ou encaminhada a um controlador de


domnio gravvel. As gravaes de RPC (chamada de procedimento remoto) so um exemplo de
comunicao que pode ser proibida de fazer indicaes ou encaminhamentos a outro controlador
de domnio.

5-10 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Quando voc implementa um RODC, o KCC detecta que o controlador de domnio configurado com
uma rplica somente leitura de todas as parties de domnio aplicveis. Por isso, o KCC cria apenas
objetos de conexo unidirecionais de um ou mais controladores de domnio do Windows Server 2008
ou um sistema operacional Windows Server mais recente de origem para o RODC.
Para algumas tarefas, um RODC executa a replicao de entrada usando uma operao RSO (replicar
objeto nico). Isso iniciado sob solicitao fora da agenda de replicao padro. Essas tarefas incluem:

Alteraes de senha.

Atualizaes de DNS quando o RODC indica um cliente a um servidor DNS gravvel. O RODC tenta
efetuar pull das alteraes usando uma operao RSO. Isso ocorre apenas para zonas DNS integradas
ao Active Directory.

Atualizaes de vrios atributos de cliente que incluem nome do cliente, DnsHostName, OsName,
OsVersionInfo, tipos de criptografia com suporte e o atributo LastLogontimeStamp.

Como funciona a replicao SYSVOL


SYSVOL uma coleo de arquivos e pastas em
cada controlador de domnio que vinculada ao
local %SystemRoot%\SYSVOL. O SYSVOL contm
scripts de logon e objetos relacionados Poltica
de Grupo, como modelos de Poltica de Grupo.
O contedo da pasta SYSVOL replicado em
cada controlador de domnio no domnio
domnio usando a topologia de objeto
de conexo e a agenda criada pelo KCC.
Dependendo da verso do sistema operacional
do controlador de domnio, do nvel funcional
do domnio e do status de migrao do SYSVOL,
o FRS (servio de replicao de arquivos) ou a Replicao do DFS (sistema de arquivos distribudo)
replica alteraes do SYSVOL entre controladores de domnio. O FRS era usado principalmente
no Windows Server 2003 R2 e em estruturas de domnio mais antigas. O Servio de Replicao de
Arquivos tem limitaes de capacidade e desempenho, o que levou adoo da Replicao do DFS.
No Windows Server 2008 e em domnios mais recentes, voc pode usar a Replicao do DFS para replicar
o contedo de SYSVOL. A Replicao do DFS d suporte a agendamento de replicao e limitao da
largura de banda, e usa um algoritmo de compactao conhecido como RDC (Compactao Diferencial
Remota). Usando RDC, a Replicao do DFS replica somente as diferenas (ou alteraes dentro de
arquivos) entre os dois servidores, resultando em menor uso de largura de banda durante a replicao.
Observao: Voc pode usar a ferramenta dfsrmig.exe para migrar a replicao SYSVOL
do FRS para a Replicao do DFS. Para que a migrao seja bem-sucedida, o nvel funcional
do domnio deve ser pelo menos o Windows Server 2008.

Configurao de servios avanados do Windows Server 2012

5-11

Lio 2

Configurao de sites do AD DS
Dentro de um nico site, a replicao do AD DS ocorre automaticamente sem considerar a utilizao
de rede. Porm, algumas organizaes possuem vrios locais que so conectados por meio de conexes
WAN (rede de longa distncia). Se esse for o caso, voc deve assegurar que replicao do AD DS no
afete a utilizao de rede negativamente entre os locais. Voc tambm pode precisar localizar servios
de rede em um local especfico. Por exemplo, voc talvez queira que os usurios em uma filial se
autentiquem em um controlador de domnio localizado no escritrio local, e no por meio de uma
conexo WAN com um controlador de domnio localizado na matriz. Voc pode implementar sites
do AD DS para ajudar a gerenciar a largura de banda em conexes de rede lentas ou no confiveis,
e ajudar na localizao de servios para autenticao e muitos outros servios com reconhecimento
de site na rede.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever sites do AD DS.

Explicar por que as organizaes podem implementar sites adicionais.

Configurar sites do AD DS adicionais.

Descrever como funciona a replicao do AD DS entre sites.

Descrever o gerador de topologia entre sites.

Descrever como os registros de recursos de servio (SRV) so usados para localizar controladores
de domnio.

Descrever como computadores cliente localizam controladores de domnio.

O que so sites do AD DS?


Para a maioria dos administradores, um site
um local fsico, um escritrio ou uma cidade
tipicamente separada por uma conexo WAN.
Esses sites so conectados fisicamente por links
de rede que podem ser to bsicos quanto
conexes dial-up ou to sofisticados quanto
links de fibra. Juntos, os locais fsicos e os links
formam uma infraestrutura de rede fsica.

5-12 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

O AD DS representa a infraestrutura de rede fsica com objetos chamados sites. Os objetos de site do
AD DS so armazenados no continer Configurao (CN=Sites, CN=Configurao, DC =domnio raiz
da floresta) e so usados para a realizao de duas tarefas de gerenciamento de servio principais:

Gerenciar o trfego de replicao. Normalmente, h dois tipos de conexes de rede LAN dentro de
um ambiente corporativo: altamente conectada e menos altamente conectada. Conceitualmente,
uma alterao feita no AD DS deveria ser replicada imediatamente em outros controladores de
domnio dentro da rede altamente conectada na qual a alterao foi feita. Entretanto, voc poder
no querer que a alterao seja replicada imediatamente em outro site se tiver um link mais lento,
mais caro ou menos confivel. Em vez disso, voc pode desejar otimizar o desempenho, reduzir os
custos e gerenciar a largura de banda gerenciando a replicao por segmentos menos altamente
conectados de sua empresa. Um site do Active Directory representa uma parte altamente conectada
de sua empresa. Quando voc define um site, os controladores de domnio dentro do site replicam
as alteraes quase que instantaneamente. Entretanto, voc pode gerenciar e agendar a replicao
entre sites conforme necessrio.

Fornecer a localizao do servio. Os sites do Active Directory ajudam voc a localizar servios,
inclusive aqueles fornecidos por controladores de domnio. Durante o logon, os clientes Windows
so automaticamente direcionados para controladores de domnio em seus sites. Se os controladores
de domnio no estiverem disponveis em seus sites, eles sero direcionados para controladores de
domnio do site mais prximo que puder autenticar o cliente com eficincia. Muitos outros servios,
como os recursos do DFS replicados, tambm possuem reconhecimento de site para assegurar que
os usurios sejam direcionados para uma cpia local do recurso.

O que so objetos de sub-rede?


Os objetos de sub-rede identificam os endereos de rede que mapeiam computadores para sites do
AD DS. Uma sub-rede um segmento de uma rede TCP/IP qual um conjunto de endereos IP lgicos
est atribudo. Como todos os objetos de sub-rede so mapeados para a rede fsica, os sites tambm so.
Um site consiste em uma ou mais sub-redes. Por exemplo, se sua rede tiver trs sub-redes em Nova York
e duas em Londres, voc poder criar um site em Nova York e um em Londres, e adicionar as sub-redes
aos respectivos sites.
Observao: Ao criar sua configurao de site do AD DS, fundamental que voc mapeie
sub-redes IP para os sites corretamente. Da mesma forma, se a configurao de rede subjacente
mudar, voc dever assegurar que essas alteraes sejam atualizadas para refletir a sub-rede IP
atual no mapeamento de site. Os controladores de domnio usam as informaes de sub-rede IP
no AD DS para mapear computadores cliente e servidores para o site do AD DS correto. Se esse
mapeamento no for preciso, talvez as operaes do AD DS, como trfego de logon e aplicao
de Polticas de Grupo, ocorram por links WAN, e eles podem ser interrompidos.

Primeiro site padro


O AD DS cria um site padro quando voc instala o primeiro controlador de domnio de uma floresta.
Por padro, esse site chamado Default-First-Site-Name. Voc pode renomear esse site com um nome
mais descritivo. Quando voc instala o primeiro controlador de domnio da floresta, o AD DS o coloca
automaticamente no site padro. Se voc tiver um nico site, no ser necessrio configurar sub-redes
ou sites adicionais, pois todos os computadores sero cobertos pelo site padro Default-First-Site-Name.
Porm, os sites mltiplos precisam ter sub-redes associadas a eles conforme necessrio.

Configurao de servios avanados do Windows Server 2012

5-13

Por que implementar sites adicionais?


Todas as florestas do Active Directory incluem
pelo menos um site. Voc dever criar sites
adicionais quando:

Um link lento separar parte da rede.


Conforme foi mencionado anteriormente,
um site caracterizado por um local com
conectividade rpida, confivel e barata.
Se dois locais estiverem conectados por um
link lento, voc dever configurar cada local
como um site do AD DS separado. Um link
lento normalmente um que tem uma
conexo de menos de 512 quilobits
por segundo (Kbps).

Uma parte da rede tiver usurios suficientes para justificar a hospedagem de controladores de
domnio ou outros servios nesse local. As concentraes de usurios tambm podem influenciar
no design do seu site. Se um local de rede tiver um nmero suficiente de usurios, para os quais
a impossibilidade de autenticao seria problemtica, coloque um controlador de domnio no
domnio local para dar suporte autenticao dentro do local. Depois de colocar um controlador
de domnio ou outro servio distribudo em um local que dar suporte a esses usurios, voc
poder desejar gerenciar replicao do Active Directory no local ou localizar o uso do servio
configurando um site do Active Directory para representar o local.

Voc desejar controlar a localizao de servios. Estabelecendo sites do AD DS, voc pode assegurar
que os clientes usem os controladores de domnio que estiverem mais prximos para a autenticao,
o que reduz a latncia de autenticao e o trfego em conexes WAN. Na maioria dos cenrios,
cada site conter um controlador de domnio. Porm, voc poder configurar os sites para localizar
servios que no sejam de autenticao, como os servios do DFS, Windows BranchCache
e Exchange Server. Nesse caso, alguns sites poderiam ser configurados sem um controlador
de domnio presente no site.

Voc desejar controlar a replicao entre controladores de domnio. Poder haver cenrios em
que dois controladores de domnio bem-conectados estejam autorizados a se comunicar apenas
em determinadas horas do dia. A criao de sites permite que voc controle como e quando
a replicao ocorre entre os controladores de domnio.

5-14 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Demonstrao: Configurao de sites do AD DS


Nesta demonstrao, voc ver como configurar sites do AD DS.

Etapas da demonstrao
1.

No Gerenciador do Servidor, abra Servios e Sites do Active Directory.

2.

Renomeie o site Default-First-Site-Name como LondonHQ quando necessrio.

3.

Clique com o boto direito do mouse do mouse no n Sites e clique em Novo Site. Especifique
o nome Toronto e associe o novo site ao link de site padro.

4.

Crie sites adicionais, conforme necessrio.

5.

No painel de navegao, clique com o boto direito do mouse em Subnets e clique em


Nova Sub-rede.

6.

Fornea o prefixo 172.16.0.0/24 e associe o prefixo de IP a um objeto de site disponvel.

7.

Se necessrio, mova um controlador de domnio para o novo site.

Como funciona a replicao entre sites


As principais caractersticas da replicao em sites
so as seguintes:

As conexes de rede no site so confiveis,


baratas e tm largura de banda disponvel
suficiente.

O trfego de replicao no site no


compactado, pois um site presume
conexes de rede altamente confiveis e
rpidas. A no compactao do trfego
de rede ajuda a reduzir a carga de
processamento nos controladores de
domnio. Porm, o trfego descompactado
pode aumentar a largura de banda da rede.

Um processo de notificao de alterao inicia a replicao no site.

Configurao de servios avanados do Windows Server 2012

5-15

As principais caractersticas da replicao entre sites so as seguintes:

Os links de rede entre os sites tm largura de banda disponvel limitada, podem ter um custo
mais alto e talvez no sejam confiveis.

O trfego de replicao entre sites pode ser projetado para otimizar a largura de banda
compactando todo o trfego de replicao. Ele compactado em 10 a 15% de seu tamanho
original antes de ser transmitido. Apesar de a compactao otimizar a largura de banda de
rede, ela impe uma carga de processamento adicional nos controladores de domnio quando
compacta e descompacta os dados da replicao.

A replicao entre sites acontece automaticamente depois que voc define valores configurveis,
como uma agenda ou um intervalo de replicao. Voc pode agendar a replicao para horrios
mais baratos ou fora do pico. Por padro, as alteraes so replicadas entre os sites conforme uma
agenda definida, e no quando as alteraes ocorrem. A agenda determina quando a replicao
pode ocorrer. O intervalo especifica como os controladores de domnio verificam as alteraes
durante o tempo que a replicao pode ocorrer.

Notificaes de alterao entre sites do AD DS


Intencionalmente, as alteraes no AD DS so replicadas entre controladores de domnio em sites
diferentes de acordo com uma agenda de replicao definida, e no conforme as alteraes ocorrem,
como acontece com a replicao intra-site. Por isso, a latncia de replicao na floresta pode ser igual
soma das maiores latncias de replicao ao longo do caminho de replicao mais extenso de
qualquer partio de diretrio. Em alguns cenrios, isso pode ser ineficiente.
Para evitar a latncia na replicao, voc pode configurar notificaes de alterao em conexes
entre sites. Modificando o objeto de link de site, voc pode habilitar a notificao de alterao
entre sites para todas as conexes que ocorrem nesse link. Como o parceiro de replicao no
site notificado das alteraes, o intervalo de replicao entre sites efetivamente ignorado.
O controlador de domnio de origem notifica o controlador de domnio no domnio outro
site de que tem uma alterao, da mesma maneira que faz dentro de um nico site.
Para alteraes como bloqueios de conta ou alteraes semelhantes relacionadas segurana,
a replicao imediata essencial. Nessas situaes, usada a replicao urgente. Esta ignora o
atraso de notificao e processa as notificaes de alterao imediatamente. Isso afeta apenas
as notificaes de alterao. Se voc no tiver notificaes de alterao habilitadas entre sites,
replicao ainda respeitar o intervalo de replicao no link de site.
Observao: Quando a senha do usurio alterada, a replicao imediata iniciada
no mestre de operaes do emulador PDC (controlador de domnio primrio). Isso difere
da replicao urgente porque ocorre imediatamente, sem levar em conta o intervalo
de replicao entre sites.

5-16 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

O que o gerador de topologia entre sites?


Quando voc configura vrios sites, o KCC
em um controlador de domnio de cada site
designado como o ISTG (gerador de topologia
entre sites) do site. Existe apenas um ISTG por
site, independentemente de quantos domnios
ou outras parties de diretrio o site possui.
O ISTG responsvel por calcular a topologia
de replicao ideal do site.
Quando voc adiciona um novo site floresta,
o ISTG de cada site determina quais parties
de diretrio esto presentes no novo site. O ISTG
calcula ento quantos novos objetos de conexo
so necessrios replicar as informaes necessrias do novo site. Em algumas redes, voc talvez queira
especificar que somente determinados controladores de domnio sejam responsveis pela replicao
entre sites. Voc pode fazer isso especificando servidores bridgehead. Os servidores bridgehead so
responsveis por toda a replicao que entra e sai do site. O ISTG cria o acordo de conexo necessrio
em seu diretrio, e essas informaes so replicadas no servidor bridgehead, que ento cria uma conexo
de replicao com o servidor bridgehead no site remoto, e a replicao iniciada. Se um parceiro de
replicao se tornar indisponvel, o ITSG selecionar outro controlador de domnio automaticamente,
se possvel. Se forem atribudos servidores bridgehead manualmente, e se eles ficarem indisponveis,
o ISTG no selecionar outros servidores automaticamente.
O ISTG seleciona servidores bridgehead automaticamente e cria a topologia de replicao entre sites
para assegurar que as alteraes sejam replicadas com eficincia entre os servidores bridgehead que
compartilham um link de site. Os servidores bridgehead so selecionados por partio, ento possvel
que um controlador de domnio em um site seja o servidor bridgehead para o esquema, e haja outro
para a configurao. Entretanto, voc normalmente achar que um controlador de domnio o servidor
bridgehead para todas as parties de um site, a menos que haja controladores de domnio de outros
domnios ou parties do diretrio de aplicativos. Nesse caso, sero escolhidos bridgeheads para essas
parties.

Configurao de servios avanados do Windows Server 2012

5-17

Viso geral de registros de recursos de servios para controladores


de domnio
Quando voc adiciona um controlador de
domnio a um domnio, o controlador
de domnio anuncia seus servios criando
registros de recursos de servios (SRV) (tambm
conhecidos como registros de localizador) no
DNS. Ao contrrio dos registros de recursos
de host (A), que mapeiam nomes de host para
endereos IP, os registros SRV mapeiam servios
para nomes de host. Por exemplo, para publicar
sua capacidade de fornecer autenticao e acesso
de diretrio, um controlador de domnio guarda
registros SRV LDAP e do protocolo v5 Kerberos.
Esses registros SRV so adicionados a vrias pastas dentro das zonas DNS da floresta.
Dentro da zona de domnio, uma pasta chamada name_tcp contm os registros SRV de todos os
controladores do domnio. Alm disso, dentro da zona de domnio est uma pasta chamada name_sites,
que contm subpastas para cada site configurado no domnio. Cada pasta especfica ao site contm
registros SRV que representam servios disponveis no site. Por exemplo, se um controlador de domnio
estiver localizado em um site, um registro SRV estar localizado no caminho _sites\sitename\_tcp, onde
sitename o nome do site.
Um registro SRV tpico contm as seguintes informaes:

O nome do servio e a porta. Essa parte do registro SRV indica um servio com uma porta fixa.
No precisa ser uma porta conhecida. Os registros SRV no Windows Server 2012 incluem LDAP
(porta 389), Kerberos (porta 88), senha do protocolo Kerberos (KPASSWD, porta 464) e servios
de catlogo global (porta 3268).

Protocolo. O protocolo TCP ou UDP indicado como um protocolo de transporte do servio.


O mesmo servio pode usar ambos os protocolos em registros SRV separados. Por exemplo,
os registros Kerberos so registrados para TCP e UDP. Os clientes Microsoft usam apenas TCP,
mas os clientes UNIX podem usar UDP e TCP.

Nome do host. Corresponde ao registro do host A para o servidor que hospeda o servio.
Quando um cliente faz a consulta de um servio, o servidor DNS retorna o registro SRV e os
registros associados do host A, portanto o cliente no precisa enviar uma consulta separada
para resolver o endereo IP de um servio.

O nome do servio em um registro SRV segue a hierarquia DNS padro com componentes separados
por pontos. Por exemplo, o servio Kerberos de um controlador de domnio registrado como:
kerberos._tcp.sitename._sites.domainname, em que:

domainName o domnio ou a zona, por exemplo, contoso.com.

_sites corresponde a todos os sites registrados no DNS.

sitename o site do controlador de domnio que registra o servio.

_tcp qualquer servio baseado em TCP no site.

kerberos um KDC (Centro de Distribuio de Chaves) Kerberos que usa o TCP como seu protocolo
de transporte.

5-18 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Como computadores cliente localizam controladores de domnio dentro


de sites
Quando voc inclui um cliente do sistema
operacional Windows em um domnio
e depois o reinicia, o cliente conclui um
processo de localizao e registro do
controlador de domnio. O objetivo desse
processo de registro localizar o controlador
de domnio com a localizao mais eficiente
e prxima para o local do cliente com base
nas informaes de sub-rede IP.
O processo de localizao de um controlador
de domnio o seguinte:
1.

O novo cliente consulta todos os


controladores de domnio no domnio. Quando o novo cliente do domnio reiniciado, ele recebe
um endereo IP de um servidor DHCP e est pronto para se autenticar no domnio. Mas o cliente
no sabe onde localizar um controlador de domnio. Portanto, o cliente consulta um controlador
de domnio consultando a pasta _tcp, que contm os registros SRV de todos os controladores
no domnio.

2.

O cliente tenta um ping LDAP em todos os controladores de domnio em sequncia. O DNS retorna
uma lista de todos os controladores de domnio correspondentes, e o cliente tenta entrar em contato
com todos eles em sua primeira inicializao.

3.

O primeiro controlador de domnio responde. O primeiro controlador de domnio que responde


ao cliente examina o endereo IP do cliente, faz referncias cruzadas desse endereo com objetos
de sub-rede e informa ao cliente o site ao qual o cliente pertence. O cliente armazena o nome
do site em seu Registro e, em seguida, consulta controladores de domnio na pasta _tcp especfica
ao site.

4.

O cliente consulta todos os controladores de domnio do site. O DNS retorna uma lista de todos
os controladores de domnio do site.

5.

O cliente tenta um ping LDAP sequencialmente em todos os controladores de domnio do site.


O controlador de domnio que responder primeiro autentica o cliente.

6.

O cliente forma uma afinidade. O cliente forma uma afinidade com o controlador de domnio que
respondeu primeiro, e ento tenta autenticar com o mesmo controlador de domnio no domnio
futuro. Se o controlador de domnio no estiver disponvel, o cliente consultar a pasta _tcp do
site novamente e, mais uma vez, tentar a associao ao primeiro controlador de domnio que
responder no site.

Se o cliente mudar para outro site, como no caso de um computador mvel, o cliente tentar se
autenticar em seu controlador de domnio preferencial. O controlador de domnio percebe que o
endereo IP do cliente est associado a um site diferente e indica o cliente ao novo site. Em seguida,
o cliente consulta o DNS quanto aos controladores de domnio do site local.

Configurao de servios avanados do Windows Server 2012

Cobertura automtica do site


Como mencionado anteriormente, voc pode configurar sites para direcionar os usurios a cpias
locais de recursos replicados, como pastas compartilhadas replicadas dentro de um namespace do
DFS. Pode haver cenrios nos quais voc precisa apenas da localizao de servios, sem a necessidade
de um controlador de domnio localizado dentro do site. Nesse caso, um controlador de domnio
prximo guardar seus registros SRV no site usando um processo chamado de cobertura do site.
Um site sem um controlador de domnio geralmente coberto por um controlador de domnio de
um site com o menor custo de link para o site que requer a cobertura. Voc tambm pode configurar
a cobertura do site e a prioridade de registros SRV manualmente, caso queira controlar a autenticao
em sites sem controladores de domnio.
Leitura adicional: Para obter mais informaes sobre como a cobertura do site avaliada,
consulte http://go.microsoft.com/fwlink/?LinkId=168550.

5-19

5-20 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Lio 3

Configurao e monitoramento da replicao do AD DS


Depois de configurar os sites que representam sua infraestrutura de rede, a prxima etapa determinar
se qualquer link de site adicional necessrio para ajudar a gerenciar a replicao do AD DS. O AD DS
fornece vrias opes que voc pode configurar para controlar como a replicao ocorre pelos links
de sites. Voc tambm precisa entender as ferramentas que pode usar para monitorar e gerenciar
a replicao em um ambiente de rede AD DS.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever links de sites do AD DS.

Explicar o conceito de pontes de links de sites.

Descrever o cache de associao de grupo universal.

Descrever como controlar a replicao entre sites.

Configurar a replicao entre sites do AD DS.

Descrever opes para configurar polticas de replicao de senha para RODCs.

Configurar polticas de replicao de senha.

Descrever ferramentas usadas para monitorar e gerenciar a replicao.

O que so links de sites do AD DS?


Para dois sites trocarem dados de replicao,
um link de site deve conect-los. Um link de site
um caminho lgico que o KCC\ISTG usa para
estabelecer a replicao entre sites. Quando
voc cria sites adicionais, deve selecionar pelo
menos um link que conectar o novo site a um
site existente. A menos que j haja um link de
site, o KCC no poder fazer conexes entre
computadores em sites diferentes, nem poder
ocorrer replicao entre os sites.
O importante a ser lembrado sobre um link
de site que ele representa um caminho
disponvel para replicao. Um nico link de site no controla as rotas de rede que so usadas. Ao criar
um link de site e adicionar sites a ele, voc est informando ao AD DS que pode fazer a replicao
entre qualquer um dos sites associados ao link de site. O ISTG cria objetos de conexo, e esses objetos
determinaro o caminho de replicao real. Embora a topologia de replicao que o ISTG cria replique
o AD DS com eficincia, ela pode no ser eficiente, dependendo de sua topologia de rede.

Configurao de servios avanados do Windows Server 2012

5-21

Para entender melhor esse conceito, considere o exemplo a seguir. Quando voc cria uma floresta,
um objeto de link de site criado: DEFAULTIPSITELINK. Por padro, cada novo site que voc adiciona
associado ao DEFAULTIPSITELINK. Considere uma organizao com um data center na matriz e trs
filiais. Cada uma das trs filiais conectada ao data center com um link dedicado. Voc cria sites
para cada filial: Seattle (SEA), Amsterd (AMS) e Beijing (PEK). Cada um dos sites, inclusive a matriz,
associado ao objeto de link de site DEFAULTIPSITELINK.
Como todos os quatro sites esto no mesmo link de site, voc est informando ao AD DS que todos os
quatro sites podem se replicar entre si. Isso significa que Seattle pode replicar alteraes de Amsterd;
Amsterd pode replicar alteraes de Beijing; e Beijing pode replicar alteraes da matriz, que, por sua
vez, replica alteraes de Seattle. Em vrios desses caminhos de replicao, o trfego de replicao na
rede flui de uma filial para a outra, passando pela matriz. Com um nico link de site, voc no cria
uma topologia de replicao hub e spoke, embora sua topologia de rede seja hub e spoke.
Para alinhar sua topologia de rede replicao do Active Directory, voc deve criar links de sites
especficos. Ou seja, voc pode criar manualmente links de sites que reflitam sua topologia
de replicao pretendida. Continuando o exemplo anterior, voc criaria trs links de sites
como os seguintes:

HQ-AMS inclui os sites Matriz e Amsterd.

HQ-SEA inclui os sites Matriz Seattle.

HQ-PEK inclui os sites Matriz e Beijing.

Depois que voc criar links de sites, o ISTG usar a topologia para criar uma topologia de replicao
entre sites que conecte cada site e, em seguida, criar automaticamente objetos de conexo para
configurar os caminhos de replicao. Como uma prtica recomendada, voc deve configurar
corretamente sua topologia de site e evitar criar objetos de conexo manualmente.

O que a ponte de link de site?


Depois que voc criar links de sites e o ISTG gerar
objetos de conexo para replicar parties entre
controladores de domnio que compartilham um
link de site, seu trabalho poder estar concludo.
Em muitos ambientes, principalmente aqueles
com topologias de rede simples, os links de sites
podem ser suficientes para gerenciar a replicao
entre sites. Em redes mais complexas, porm,
voc pode configurar componentes adicionais
e propriedades de replicao.

5-22 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Ponte de link de site automtica


Por padro, todos os links de sites tm pontes. Por exemplo, se os sites Amsterd e Matriz estiverem
vinculados, bem como os sites Matriz e Seattle, Amsterd e Seattle estaro vinculados com um custo mais
alto. Teoricamente, isso significa que o ISTG poderia criar um objeto de conexo diretamente entre um
controlador de domnio em Seattle e um controlador de domnio em Amsterd, se um controlador de
domnio no estivesse disponvel na matriz para replicao. Isso realizado com a topologia de rede hub
e spoke.
Voc pode desabilitar a ponte de link de site automtica abrindo as propriedades do transporte IP
no continer Transportes Entre Sites e, em seguida, desmarcando a caixa de seleo Ponte entre
Links de Sites. Antes de fazer isso em um ambiente de produo, leia os recursos tcnicos sobre
replicao nas bibliotecas tcnicas do Windows Server no site do Microsoft TechNet.

Pontes de links de sites


Uma ponte de link de site conecta dois ou mais links de sites de modo a criar um link transitivo. As pontes
de links de sites so necessrias apenas depois que voc desmarca a caixa de seleo Ponte entre Links
de Sites para o protocolo de transporte. Lembre-se de que a ponte de link de site automtica habilitada
por padro e, nesse caso, no so necessrias pontes de links de sites.
A figura no slide ilustra o uso de uma ponte de link de site em uma floresta na qual a ponte de link de
site automtica foi desabilitada. Criando a ponte de link de site AMS-HQ-SEA, que inclui os links de sites
HQ-AMS e HQ-SEA, esses dois links de sites se tornam transitivos. Portanto, uma conexo de replicao
pode ser feita entre um controlador de domnio em Amsterd e um controlador de domnio em Seattle.

O que o cache de associao de grupo universal?


Um dos problemas que voc talvez precise
resolver ao configurar a replicao do AD DS
a implantao ou no de servidores de
catlogo global em cada site. Como os servidores
de catlogo global so necessrios quando
os usurios entram no domnio, a implantao
de um servidor de catlogo global em cada site
otimiza a experincia do usurio. Entretanto,
a implantao de um servidor de catlogo
global em um site pode resultar em trfego
de replicao adicional, o que poder ser
um problema se a conexo de rede entre sites
do AD DS tiver limitado a largura de banda. Nesses cenrios, possvel implantar controladores de
domnio que executem o Windows Server 2008 ou uma verso mais recente e, em seguida, habilitar
o cache de associao de grupo universal para o site.

Configurao de servios avanados do Windows Server 2012

5-23

Como funciona o cache de associao de grupo universal


Um controlador de domnio em um site que tem o cache de associao de grupo universal habilitado
armazena as informaes de grupo universal localmente, depois que um usurio tenta entrar pela
primeira vez. O controlador de domnio obtm as informaes de associao de grupo universal de
um servidor de catlogo global em outro site. Em seguida, ele armazena as informaes indefinidamente
no cache, e as atualiza periodicamente. Na prxima vez que o usurio tentar entrar, o controlador de
domnio obter as informaes de associao de grupo universal de seu cache local sem contatar um
servidor de catlogo global.
Por padro, as informaes de associao de grupo universal contidas no cache de cada controlador de
domnio so atualizadas a cada oito horas. Para atualizar o cache, os controladores de domnio enviam
uma solicitao de confirmao de associao de grupo universal a um servidor catlogo global
designado.
Voc pode configurar o cache de associao de grupo universal nas propriedades do n Configuraes
do Site NTDS.

Gerenciamento da replicao entre sites


Quando voc cria um link de site, tem vrias
opes de configurao que poder usar para
ajudar a gerenciar a replicao entre sites.
Essas opes incluem:

Custos de links de sites. Os custos de links


de sites gerenciam o fluxo do trfego de
replicao quando h mais de uma rota para
trfego de replicao. Voc pode configurar
os custos de links de sites para indicar que
um link mais rpido, mais confivel ou
preferencial. Os custos mais altos so usados
para links lentos, e os mais baixos so usados
para links rpidos. O AD DS replica usando a conexo com o custo mais baixo. Por padro, todos
os links de sites so configurados com um custo de 100.

Frequncia de replicao. A replicao entre sites se baseia apenas em sondagem. Por padro, a cada
trs horas, um parceiro de replicao sonda seus parceiros de replicao upstream para determinar
se h alteraes disponveis. Esse intervalo de replicao poder ser muito longo para as organizaes
que desejam que as alteraes no diretrio sejam replicadas mais rapidamente. Voc pode alterar o
intervalo de sondagem acessando as propriedades do objeto de link de site. O intervalo de sondagem
mnimo 15 minutos.

Agendamentos de replicao. Por padro, a replicao ocorre 24 horas por dia. Entretanto, voc pode
restringir a replicao entre sites a horrios especficos alterando os atributos de agendamento de um
link de site.

5-24 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Demonstrao: Configurao da replicao entre sites do AD DS


Nesta demonstrao, voc ver como configurar a replicao entre sites do AD DS.

Etapas da demonstrao
1.

No Gerenciador do Servidor, abra Servios e Sites do Active Directory.

2.

Renomeie DEFAULTIPSITELINK como LON-TOR.

3.

Clique com o boto direito do mouse do mouse no link de site e clique em Propriedades.

4.

Modifique o Custo, o Intervalo de replicao e a Agenda conforme necessrio.

5.

Se necessrio, abra as propriedades do n IP e modifique a opo Ponte entre links de sites.

Opes para configurar polticas de replicao de senha para RODCs


Os RODCs tm requisitos de replicao do AD DS
exclusivos relacionados s credenciais do usurio
em cache. Eles usam polticas de replicao de
senha para determinar quais credenciais dos
usurios podem ser armazenadas em cache no
servidor. Se uma poltica de replicao de senha
permitir que um RODC armazene em cache
as credenciais de um usurio, o RODC poder
processar as atividades de autenticao e tquete
de servio desse usurio. Se no for permitido que
as credenciais de um usurio sejam armazenadas
em cache no RODC, este indicar as atividades de
autenticao e tquete de servio a um controlador de domnio gravvel.
Para acessar a poltica de replicao de senha, abra as propriedades do RODC na UO de Controladores
de Domnio e clique na guia Poltica de Replicao de Senha. A poltica de replicao de senha de
um RODC determinada por dois atributos de mltiplos valores da conta de computador do RODC.
Esses atributos geralmente so conhecidos como Lista Permitida e Lista Negada. Se a conta de um
usurio estiver na Lista Permitida, as credenciais do usurio sero armazenadas em cache. Voc pode
incluir grupos na Lista Permitida e, nesse caso, todos os usurios que pertencerem ao grupo podero
ter suas credenciais armazenadas em cache no RODC. Se o usurio estiver na Lista Permitida e na Lista
Negada, o RODC no armazenar em cache as credenciais do usurio. A Lista Negada tem precedncia.

Configurao de servios avanados do Windows Server 2012

5-25

Para facilitar o gerenciamento da poltica de replicao de senha, dois grupos de segurana locais
do domnio so criados no continer Usurios do AD DS. O primeiro grupo de segurana, o Grupo
de Replicao de Senha RODC Permitido, adicionado Lista Permitida para cada novo RODC. Por
padro, esse grupo no tem membros. Portanto, por padro, um novo RODC no armazenar em
cache as credenciais de nenhum usurio. Se houver usurios cujas credenciais que deseja que sejam
armazenadas em cache por todos os RODCs do domnio, adicione esses usurios ao Grupo de Replicao
de Senha RODC Permitido. Como uma prtica recomendada, voc pode criar uma Lista de Permisses
para cada site e configurar apenas os usurios atribudos ao site na Lista de Permisses.
O segundo grupo, o Grupo de Replicao de Senha RODC Negado, adicionado Lista Negada para
cada novo RODC. Se voc desejar assegurar que os RODCs do domnio nunca armazenem em cache as
credenciais de determinados usurios, poder adicionar esses usurios ao Grupo de Replicao de Senha
RODC Negado. Por padro, esse grupo contm contas sensveis segurana que so membros de grupos,
inclusive Admins. do Domnio, Administradores de Empresa, Administradores de Esquema, Editores
de Certificados e Proprietrios Criadores de Poltica de Grupo.

Demonstrao: Configurao de polticas de replicao de senha


Nesta demonstrao, voc ver como configurar polticas de replicao de senha.

Etapas da demonstrao
1.

Execute Usurios e Computadores do Active Directory.

2.

Crie previamente um objeto de computador RODC denominado LON-RODC1.

3.

Na UO Domain Controllers, abra as propriedades de LON-RODC1.

4.

Clique na guia Diretiva de Replicao de Senha e exiba a poltica padro.

5.

Feche a caixa de dilogo Propriedades de LON-RODC1.

6.

No console Usurios e Computadores do Active Directory, clique no continer Users.

7.

Clique duas vezes em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros
e examine a associao padro de Grupo de Replicao de Senha RODC Permitido. Por padro,
no deve haver nenhum membro.

8.

Clique em OK.

9.

Clique duas vezes em Grupo de Replicao de Senha RODC Negado e clique na guia Membros.

10. Clique em Cancelar para fechar a caixa de dilogo Propriedades de Grupo de Replicao
de Senha RODC Negado.

5-26 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Ferramentas para gerenciar e monitorar a replicao


Depois de implementar sua configurao de
replicao, voc dever ser capaz de monitorar
a replicao para suporte contnuo, otimizao
e soluo de problemas. Duas ferramentas so
particularmente teis para relatar e analisar
a replicao: a ferramenta Diagnsticos da
Replicao (Repadmin.exe) e a ferramenta
Diagnstico do Servidor de Diretrio (Dcdiag.exe).

A ferramenta Diagnsticos
da Replicao
Diagnsticos da Replicao, Repadmin.exe,
uma ferramenta de linha de comando que
permite relatar o status da replicao em cada controlador de domnio. As informaes que
Repadmin.exe gera podem ajudar voc a detectar um possvel problema com a replicao na floresta.
Voc pode exibir nveis de detalhes at os metadados da replicao para objetos e atributos especficos,
permitindo a identificao de onde e quando uma alterao problemtica for feita no AD DS. Voc pode
at usar a ferramenta Repadmin.exe para exibir a topologia de replicao e forar a replicao entre
os controladores de domnio.
Repadmin.exe d suporte a uma srie de comandos que executam tarefas especficas. Voc pode
aprender sobre cada comando digitando repadmin /?:command em uma linha de comando.
A maioria dos comandos requer argumentos. Muitos comandos utilizam um parmetro DC_LIST, que
simplesmente um rtulo de rede (DNS, nome NetBIOS ou endereo IP) de um controlador de domnio.
Algumas das tarefas mais comuns de monitoramento de replicao que voc pode executar usando
a ferramenta Repadmin so:

Exibir os parceiros de replicao de um controlador de domnio. Para exibir as conexes de replicao


de um controlador de domnio, digite repadmin /showrepl DC_LIST. Por padro, Repadmin.exe
mostra apenas conexes entre sites. Adicione o argumento /repsto para consultar tambm conexes
entre sites.

Exibir objetos de conexo de um controlador de domnio. Digite repadmin /showconn DC_LIST


para mostrar os objetos de conexo de um controlador de domnio.

Exibir metadados sobre um objeto, seus atributos e replicao. Voc pode aprender muito sobre a
replicao examinando um objeto em dois controladores de domnio diferentes para descobrir quais
atributos foram ou no replicados. Digite repadmin /showobjmeta DC_LIST Object, onde DC_LIST
indica o controlador de domnio a ser consultado. (Voc pode usar um asterisco [*] para indicar todos
os controladores de domnio.) Object um identificador exclusivo do objeto, seu nome diferenciado
ou GUID, por exemplo.

Configurao de servios avanados do Windows Server 2012

5-27

Voc tambm pode fazer alteraes em sua infraestrutura de replicao usando a ferramenta Repadmin.
Algumas das tarefas de gerenciamento que voc pode executar so:

Iniciar o KCC. Digite repadmin /kcc para forar o KCC a recalcular a topologia de replicao
de entrada para o servidor.

Forar a replicao entre dois parceiros. Voc pode usar Repadmin para forar a replicao de uma
partio entre um controlador de domnio de origem e de destino. Digite repadmin /replicate
DC_LIST_Destino Nome_DC_Origem Contexto_Nomenclatura.

Sincronizar um controlador de domnio com todos os parceiros de replicao. Digite repadmin


/syncall DC/A /e para sincronizar um controlador de domnio com todos os seus parceiros,
inclusive aqueles em outros sites.

A ferramenta Diagnstico do Servidor de Diretrio


A ferramenta Diagnstico do Servidor de Diretrio, Dcdiag.exe, executa vrios testes e relata a integridade
geral de replicao e segurana do AD DS. Executada sozinha, dcdiag.exe executa testes resumidos e
relata os resultados. No outro extremo, dcdiag.exe /c executa praticamente todos os testes. A sada
dos testes pode ser redirecionada para arquivos de vrios tipos, inclusive XML. Digite dcdiag /? para
obter informaes completas de uso.
Voc tambm pode especificar um ou mais testes a serem executados usando o parmetro /test:Nome
do Teste. Os testes que esto diretamente relacionados replicao incluem:

FrsEvent. Relata quaisquer erros de operao no Sistema de Replicao de Arquivos.

DFSREvent. Relata quaisquer erros de operao na Replicao do Sistema de Arquivos Distribudos.

Intersite. Procura falhas que podem impedir ou atrasar a replicao entre sites.

KccEvent. Identifica erros no KCC.

Replications. Verifica se h replicao em tempo hbil entre dois controladores de domnio.

Topology. Verifica se a topologia de replicao est totalmente conectada para todos


os controladores de domnio.

VerifyReplicas. Verifica se foram totalmente criadas instncias das parties do diretrio de aplicativos
em todos os controladores de domnio que hospedam rplicas.

5-28 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Laboratrio: Implementao de sites e replicao


do AD DS
Cenrio
A A. Datum Corporation implantou um nico domnio do AD DS com todos os controladores
de domnio localizados no data center de Londres. Como a empresa cresceu e adicionou filiais
com grandes nmeros de usurios, tornou-se aparente que o ambiente do AD DS atual no est
atendendo aos requisitos da empresa. Os usurios de algumas das filiais relatam que podem levar
muito tempo para entrar em seus computadores. O acesso a recursos da rede, como os servidores
do Microsoft Exchange 2010 e do Microsoft SharePoint da empresa pode ser lento, e eles falham
esporadicamente.
Como um dos administradores de rede seniores, voc responsvel por planejar e implementar
uma infraestrutura do AD DS que ajudar a atender aos requisitos comerciais da organizao. Voc
responsvel por configurar sites e replicao do AD DS para otimizar a experincia de usurio
e a utilizao da rede dentro da organizao.

Objetivos

Configurar o site padro criado no AD DS.

Criar e configurar sites adicionais no AD DS.

Configurar e monitorar a replicao entre sites do AD DS.

Configurao do laboratrio
Tempo previsto: 30 minutos
Mquinas virtuais

24412B-LON-DC1
24412B-TOR-DC1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

a.

Nome de Usurio: Adatum\Administrador

b.

Senha: Pa$$w0rd

Repita as etapas de 2 a 4 para 24412B-TOR-DC1.

Configurao de servios avanados do Windows Server 2012

5-29

Exerccio 1: Modificao do site padro


Cenrio
A Datum Corporation decidiu implementar sites adicionais do AD DS para otimizar a utilizao da rede
para o trfego de rede do AD DS. A primeira etapa na implementao do novo ambiente instalar um
novo controlador de domnio para o site Toronto. Voc reconfigurar ento o site padro e atribuir
sub-redes de endereo IP apropriadas ao site.
Finalmente, voc foi solicitado a alterar o nome do site padro para LondonHQ e associ-lo sub-rede
IP 172.16.0.0/24, que o intervalo de sub-rede usado para o escritrio matriz de Londres.
As principais tarefas deste exerccio so:
1.

Instalar o controlador de domnio de Toronto.

2.

Renomear o site padro.

3.

Configurar sub-redes IP associadas ao site padro.

Tarefa 1: Instalar o controlador de domnio de Toronto


1.

Em TOR-DC1, use o Gerenciador do Servidor para instalar os Servios de Domnio Active Directory.

2.

Quando os binrios do AD DS estiverem instalados, use o Assistente de Configurao dos Servios


de Domnio do Active Directory para instalar e configurar TOR-DC1 como um controlador de
domnio adicional para Adatum.com.

3.

Aps a reinicializao do servidor, entre como Adatum\Administrador com a senha Pa$$w0rd.

Tarefa 2: Renomear o site padro


1.

Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor.

2.

Abra Servios e Sites do Active Directory e renomeie o site Default-First-Site-Name


para LondonHQ.

3.

Verifique se LON-DC1 e TOR-DC1 so membros do site LondonHQ.

Tarefa 3: Configurar sub-redes IP associadas ao site padro


1.

Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor e, em seguida,


abra Servios e Sites do Active Directory.

2.

Crie uma nova sub-rede com a seguinte configurao:


o

Prefixo: 172.16.0.0/24

Objeto de site: LondonHQ

Resultados: Depois de concluir este exerccio, voc ter reconfigurado o site padro e atribudo
sub-redes de endereo IP ao site.

5-30 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Exerccio 2: Criao de sites e sub-redes adicionais


Cenrio
A prxima etapa na implementao do design de site do AD DS configurar o novo site do AD DS.
O primeiro site que voc precisa implementar o site Toronto para o data center Amrica do Norte.
A equipe de rede em Toronto tambm gostaria de dedicar um site chamado TestSite no data center
Toronto. Voc foi informado de que o endereo de sub-rede IP de Toronto 172.16.1.0/24,
e o endereo de sub-rede IP da rede de teste 172.16.100.0/24.
As principais tarefas deste exerccio so:
1.

Criar os sites do AD DS para Toronto.

2.

Criar sub-redes IP associadas aos sites de Toronto.

Tarefa 1: Criar os sites do AD DS para Toronto


1.

Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor e, em seguida, abra


Servios e Sites do Active Directory.

2.

Crie um novo site com a seguinte configurao:

3.

Nome: Toronto

Objeto de link de site: DEFAULTIPSITELINK

Crie outro novo site com a seguinte configurao:


o

Nome: TestSite

Objeto de link de site: DEFAULTIPSITELINK

Tarefa 2: Criar sub-redes IP associadas aos sites de Toronto


1.

Se necessrio, em LON-DC1, abra Servios e Sites do Active Directory.

2.

Crie uma nova sub-rede com a seguinte configurao:

3.

4.

Prefixo: 172.16.1.0/24

Objeto de site: Toronto

Crie outra nova sub-rede com a seguinte configurao:


o

Prefixo: 172.16.100.0/24

Objeto de site: TestSite

No painel de navegao, clique na pasta Subnets. Verifique no painel de detalhes se as trs


sub-redes esto criadas e associadas ao site apropriado.

Resultados: Aps este exerccio, voc ter criado dois sites adicionais que representam os endereos
de sub-rede IP localizados em Toronto.

Configurao de servios avanados do Windows Server 2012

5-31

Exerccio 3: Configurao da replicao do AD DS


Cenrio
Agora que os sites do AD DS foram configurados para Toronto, a prxima etapa configurar os links de
sites para gerenciar a replicao entre os sites e, em seguida, mover o controlador de domnio TOR-DC1
para o site Toronto. Atualmente todos os sites pertencem a DEFAULTIPSITELINK.
Voc precisa modificar a vinculao de sites de forma que LondonHQ e Toronto pertenam a um link
de site comum chamado LON-TOR. Voc deve configurar esse link para replicar a cada hora. Alm disso,
voc deve vincular o site TestSite apenas ao site Toronto usando um link de site denominado TOR-TEST.
A replicao no dever estar disponvel do site Toronto para o TestSite durante o horrio de trabalho
das 9 s 15 h.
Em seguida, voc usar ferramentas para monitorar a replicao entre os sites.
As principais tarefas deste exerccio so:
1.

Configurar links de sites entre sites do AD DS.

2.

Mover TOR-DC1 para o site Toronto.

3.

Monitorar a replicao de sites do AD DS.

Tarefa 1: Configurar links de sites entre sites do AD DS


1.

Se necessrio, em LON-DC1, abra Servios e Sites do Active Directory.

2.

Crie um novo link de site baseado em IP com a seguinte configurao:

3.

Nome: TOR-TEST

Sites: Toronto, TestSite

Modifique a agenda para permitir somente a replicao de segunda-feira a sexta-feira


de 9:00 a 15:00

Renomeie DEFAULTIPSITELINK e configure-o da seguinte forma:


o

Nome: LON-TOR

Sites: LondonHQ, Toronto

Replicao: a cada 60 minutos

Tarefa 2: Mover TOR-DC1 para o site Toronto


1.

Se necessrio, em LON-DC1, abra Servios e Sites do Active Directory.

2.

Mova TOR-DC1 do site LondonHQ para o site Toronto.

3.

Verifique se TOR-DC1 est localizado no n Servidores no site Toronto.

5-32 Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Tarefa 3: Monitorar a replicao de sites do AD DS


1.

Em LON-DC1, na barra de tarefas, clique no cone do Windows PowerShell.

2.

Use os seguintes comandos para monitorar a replicao de sites:


Repadmin /kcc

O comando recalcula a topologia de replicao de entrada para o servidor.


Repadmin /showrepl

Verifique se a ltima replicao com TOR-DC1 foi bem-sucedida.


Repadmin /bridgeheads

Esse comando exibe os servidores bridgehead da topologia do site.


Repadmin /replsummary

Esse comando exibe um resumo de tarefas de replicao. Verifique se no aparece nenhum erro.
DCDiag /test:replications

Verifique se todos os testes de conectividade e replicao foram concludos com xito.


3.

Alterne para TOR-DC1 e repita os comandos para exibir informaes da perspectiva de TOR-DC1.

Resultados: Aps este exerccio, voc ter configurado links de sites e monitorado a replicao.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-TOR-DC1.

Configurao de servios avanados do Windows Server 2012

Reviso e informaes complementares do mdulo


Prtica recomendada:
Implemente as seguintes prticas recomendadas ao gerenciar sites do Active Directory
e a replicao em seu ambiente:

Sempre fornea pelo menos um ou mais servidores de catlogo global por site.

Verifique se todos os sites tm sub-redes apropriadas associadas.

No configure intervalos longos sem replicao ao configurar agendas de replicao


para a replicao entre sites.

Evite usar o SMTP como um protocolo de replicao.

Problemas comuns e dicas de soluo de problemas


Problema comum

Dica para a soluo de problemas

O cliente no consegue localizar o controlador


de domnio em seu site.

A replicao entre sites no funciona.

A replicao entre dois controladores de


domnio no mesmo site no funciona.

Perguntas de reviso
Pergunta: Por que importante que todas as sub-redes sejam identificadas e associadas
a um site em uma empresa multissite?
Pergunta: Quais so as vantagens e desvantagens de reduzir o intervalo de replicao
entre sites?
Pergunta: Qual a finalidade de um servidor bridgehead?

5-33

6-1

Mdulo 6
Implementao dos Servios de Certificados
do Active Directory
Contedo:
Viso geral do mdulo

6-1

Lio 1: Viso geral do PKI

6-2

Lio 2: Implantao de autoridades de certificao

6-12

Laboratrio A: Implantao e configurao da hierarquia de autoridades


de certificao

6-19

Lio 3: Implantao e gerenciamento de modelos de certificados

6-23

Lio 4: Implementao da distribuio e revogao de certificados

6-29

Lio 5: Gerenciamento da recuperao de certificados

6-39

Laboratrio B: Implantao e gerenciamento de certificados

6-44

Reviso e informaes complementares do mdulo

6-51

Viso geral do mdulo


A PKI (infraestrutura de chave pblica) consiste em vrios componentes que ajudam a proteger as
comunicaes e as transaes corporativas. Um desses componentes a AC (autoridade de certificao).
Voc pode usar as ACs para gerenciar, distribuir e validar certificados digitais que so usados para
proteger informaes. Voc pode instalar o AD CS (Servios de Certificados do Active Directory)
como uma AC raiz ou uma AC subordinada em sua organizao. Neste mdulo, voc vai aprender
a implementar a funo de servidor e os certificados do AD CS.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever o PKI.

Implantar as ACs.

Implantar e configurar uma hierarquia de AC.

Implantar e gerenciar os modelos de certificados.

Implementar a distribuio e a revogao de certificados.

Gerenciar a recuperao de certificados.

6-2

Implementao dos Servios de Certificados do Active Directory

Lio 1

Viso geral do PKI


A PKI ajuda voc a verificar e autenticar a identidade de cada parte envolvida em uma transao
eletrnica. Ela tambm ajuda a estabelecer confiana entre os computadores e os aplicativos
correspondentes que so hospedados em servidores de aplicativos. Um exemplo comum inclui o uso
de tecnologia de PKI para proteger sites. Os certificados digitais so componentes importantes da PKI
que contm credenciais eletrnicas, as quais so usadas para autenticar usurios ou computadores.
Alm disso, os certificados podem ser validados usando os processos de descoberta de certificado,
validao de caminho e verificao de revogao. O Windows Server 2012 d suporte criao de
uma infraestrutura de servios de certificados na sua organizao usando os componentes do AD CS.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever o PKI.

Descrever os componentes de uma soluo PKI.

Descrever as ACs.

Descrever a funo de servidor do AD CS no Windows Server 2012.

Descrever os novos recursos do AD CS no Windows Server 2012.

Explicar a diferena entre as ACs pblicas e privadas.

Descrever a hierarquia de certificao cruzada.

O que PKI?
PKI uma combinao de software,
tecnologias de criptografia, processos e
servios que ajudam uma organizao na
proteo de suas comunicaes e transaes
de negcios. um sistema de certificados
digitais, ACs e outras autoridades de registro.
Quando ocorre uma transao eletrnica,
a PKI verifica e autentica a validade de cada
parte envolvida. Os padres de PKI ainda
esto em evoluo, mas eles so amplamente
implementados como um componente
essencial do comrcio eletrnico.

Configurao de servios avanados do Windows Server 2012

6-3

Conceitos gerais de PKI


Em geral, uma soluo PKI depende de vrias tecnologias e componentes. Quando voc planeja
a implementao de PKI, deve considerar e entender o seguinte:

Infraestrutura. O significado neste contexto igual ao significado em qualquer outro contexto,


como eletricidade, transporte ou fornecimento de gua. Cada um desses elementos realiza um
trabalho especfico e tem requisitos que devem ser satisfeitos para funcionar de forma eficiente.
A soma desses elementos permite o uso eficiente e seguro da PKI. Os elementos que compem
uma PKI incluem os seguintes:
o

Uma AC

Um repositrio de certificados

Uma autoridade de registro

A capacidade para revogar certificados

A capacidade para fazer backup, recuperar e atualizar chaves

A capacidade para regular e acompanhar o tempo

Processamento do lado do cliente


A maioria desses componentes ser discutida em tpicos e lies subsequentes neste mdulo.

Chaves pblicas/privadas. Em geral, h dois mtodos para criptografar e descriptografar dados:


o

Criptografia simtrica: os mtodos para criptografar e descriptografar dados so idnticos ou


espelhos um do outro. Os dados so criptografados usando um mtodo ou uma chave especfica.
Para descriptografar os dados, voc deve ter o mtodo ou a chave idntica. Portanto, qualquer
um que tenha a chave pode descriptografar os dados. A chave deve permanecer privada para
preservar a integridade da criptografia.

Criptografia assimtrica: neste caso, os mtodos para criptografar e descriptografar dados no


so idnticos e no so espelhos um do outro. Os dados so criptografados usando um mtodo
ou uma chave especfica. No entanto, uma chave diferente usada para descriptografar dados.
Isso feito usando um par de chaves. Cada pessoa obtm um par de chaves que consiste em
uma chave pblica e uma chave privada. Essas chaves so nicas e os dados que a chave pblica
criptografa podem ser descriptografados usando a chave privada e vice-versa. Nessa situao,
as chaves so suficientemente diferentes e o conhecimento ou a posse de uma no permite
determinar a outra. Portanto, uma das chaves (pblica) pode ser disponibilizada publicamente
sem reduzir a segurana dos dados, contanto que a outra chave (particular) permanea privada;
por isso o nome infraestrutura de chave pblica.

Os algoritmos que usam criptografia simtrica so rpidos e eficientes para uma quantidade grande
de dados. No entanto, como eles usam uma chave simtrica, no so considerados seguros o bastante,
j que se deve sempre transportar a chave outra parte. Alternativamente, os algoritmos que usam
criptografia assimtrica so seguros, mas muito lentos. Por isso, comum o uso da abordagem hbrida,
que significa que os dados so criptografados usando criptografia simtrica, enquanto a chave
de criptografia simtrica protegida com criptografia assimtrica.

6-4

Implementao dos Servios de Certificados do Active Directory

Quando implementar uma soluo PKI, todo o seu sistema, e principalmente o aspecto de segurana,
pode se beneficiar. Os benefcios do uso da PKI incluem:

Confidencialidade. Uma soluo PKI permite a criptografia dos dados armazenados e dos dados
transmitidos.

Integridade. Voc pode usar a PKI para assinar dados digitalmente. Uma assinatura digital identifica
se foram modificados dados enquanto as informaes estavam em trnsito.

Autenticidade e no repdio. Os dados de autenticao atravessam algoritmos de hash como


o SHA-1 (Secure Hash Algorithm 1) para gerar um resumo da mensagem. Esse resumo assinado
digitalmente usando a chave privada do remetente para provar que o resumo da mensagem foi
gerado pelo remetente. O no repdio so dados assinados digitalmente nos quais a assinatura
digital fornece prova da integridade dos dados assinados e prova da origem dos dados.

Abordagem baseada em padres. A PKI baseada em padres, o que significa que vrios
fornecedores de tecnologia so obrigados a dar suporte s infraestruturas de segurana baseadas
na PKI. Ela baseada em padres da indstria definidos no RFC 2527, Estrutura de prticas
de certificao e de poltica de certificao da infraestrutura de chave pblica Internet X.509.

Componentes de uma soluo PKI


Muitos componentes devem trabalhar
em conjunto para fornecer uma soluo
PKI completa. Os componentes de PKI no
Windows Server 2012 so os seguintes:

AC. A AC emite e gerencia certificados


digitais para usurios, servios e
computadores. Com a implantao da AC,
voc estabelece a PKI na sua organizao.

Certificados digitais. Os certificados digitais


so semelhantes em funo a um passaporte
eletrnico. Um certificado digital usado para
provar a identidade do usurio (ou outra
entidade). Os certificados digitais contm as credenciais eletrnicas associadas a uma chave pblica
e a uma chave privada, as quais so usadas para autenticar os usurios e outros dispositivos, como
servidores Web e servidores de email. Os certificados digitais tambm garantem que o software
ou o cdigo seja executado de uma fonte confivel. Os certificados digitais contm vrios campos,
como Assunto, Emissor e Nome Comum. Esses campos so usados para determinar o uso especfico
do certificado. Por exemplo, um certificado de servidor Web poderia conter o campo Nome Comum
de web01.contoso.com, que tornaria esse certificado vlido apenas para esse servidor Web. Se fosse
feita uma tentativa de usar esse certificado em um servidor Web chamado web02.contoso.com,
o usurio desse servidor receberia um aviso.

Modelos de certificados. Esse componente descreve o contedo e a finalidade de um certificado


digital. Quando solicita um certificado de uma AC corporativa do AD CS, o solicitante do certificado,
dependendo dos seus direitos de acesso, pode escolher um dos vrios tipos de certificados baseados
em modelos de certificados, como Usurio e Assinatura de Cdigo. O modelo de certificado evita
que os usurios tenham que tomar decises tcnicas de nvel baixo sobre o tipo de certificado
de que necessitam. Alm disso, permite que os administradores identifiquem quem pode
solicitar quais certificados.

Configurao de servios avanados do Windows Server 2012

6-5

CRLs e respondentes online.


o

As CRLs (listas de certificados revogados) so listas completas e assinadas digitalmente


de certificados que foram revogados. Essas listas so publicadas periodicamente e podem
ser recuperadas e armazenadas em cache pelos clientes (de acordo com o tempo de vida
configurado da CRL). As listas so usadas para verificar o status de revogao de um certificado.

Os respondentes online fazem parte do servio de funo do protocolo OCSP no


Windows Server 2008 e no Windows Server 2012. Um respondente online pode receber
uma solicitao para verificar a revogao de um certificado sem exigir que o cliente baixe
toda a CRL. Isso acelera a verificao de revogao de certificado e reduz a largura de banda
da rede. Tambm aumenta a escalabilidade e a tolerncia a falhas, permitindo a configurao
de matriz dos respondentes online.

Servios e aplicativos baseados em chave pblica. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem
dar suporte a implementaes de chave pblica para receber os benefcios.

Ferramentas de certificados e gerenciamento de AC. As ferramentas de gerenciamento fornecem


ferramentas de linha de comando e ferramentas baseadas em GUI para:
o

Configurar ACs

Recuperar chaves privadas arquivadas

Importar e exportar chaves e certificados

Publicar certificados de AC e CRLs

Gerenciar certificados emitidos

AIA (acesso s informaes da autoridade) e CDPs (pontos de distribuio de CRL). Os pontos de


AIA determinam o local onde os certificados da AC so encontrados e validados, e os locais de CDP
determinam os pontos nos quais as listas de certificados revogados podem ser encontradas durante
o processo de validao de certificados. Como as CRLs podem aumentar (dependendo do nmero de
certificados emitidos e revogados por uma AC), voc tambm pode publicar CRLs menores e interinas
chamadas CRLs delta. As CRLs delta contm apenas os certificados revogados desde a publicao da
ltima CRL normal. Isso permite que os clientes recuperem as CRLs delta menores e compilem mais
rapidamente uma lista completa de certificados revogados. O uso de CRLs delta tambm permite
a publicao dos dados de revogao com mais frequncia, j que o tamanho de uma CRL delta
significa que ela normalmente no requer tanto tempo de transferncia quanto uma CRL completa.

HSM (mdulo de segurana de hardware). Um mdulo de segurana de hardware um


dispositivo seguro opcional de hardware criptogrfico que acelera o processamento criptogrfico
de gerenciamento de chaves digitais. Ele um armazenamento especializado de alta segurana
que conectado AC para gerenciar os certificados. Um HSM normalmente anexado fisicamente
a um computador. um complemento opcional na PKI e mais usado em ambientes de alta
segurana nos quais o comprometimento de uma chave poderia causar um grande impacto.

Observao: O componente mais importante de qualquer infraestrutura de segurana


a segurana fsica. Uma infraestrutura de segurana no apenas a implementao da PKI.
Outro elementos, como segurana fsica e polticas de segurana adequadas, tambm so
partes importantes de uma infraestrutura de segurana holstica.

6-6

Implementao dos Servios de Certificados do Active Directory

O que so CAs?
Uma AC um servio bem projetado e
altamente confivel em uma empresa, o qual
fornece certificados a usurios e computadores,
mantm as CRLs e responde opcionalmente a
solicitaes de OCSP. Voc pode instalar uma
AC em seu ambiente implantando a funo
AD CS no Windows Server 2012. Quando a
primeira AC instalada, ela estabelece a PKI
na rede e fornece o ponto mais alto em toda a
estrutura. Voc pode ter uma ou mais autoridades
de certificao em uma rede, mas apenas uma
AC pode estar no ponto mais alto da hierarquia
AC (essa AC chamada de AC raiz, que ser discutida posteriormente neste mdulo).
As finalidades principais da AC so emitir certificados, revogar certificados e publicar informaes sobre
AIA e CRL. Fazendo isso, a AC garante a emisso de certificados que podem ser validados para usurios,
servios e computadores.
Uma AC executa vrias funes em uma PKI. Em uma PKI grande, comum a separao de funes
da AC entre vrios servidores. Uma AC fornece vrias tarefas de gerenciamento, inclusive:

Verificao da identidade do solicitante do certificado.

Emisso de certificados para usurios, computadores e servios solicitantes.

Gerenciamento da revogao do certificado.

Quando voc implantar a primeira AC (AC raiz) na rede, ela emitir um certificado prprio. Depois disso,
outras ACs recebem certificados da primeira AC. Tambm possvel optar por emitir um certificado para
a AC usando uma das ACs pblicas.

Viso geral da funo de servidor do AD CS no Windows Server 2012


Todos os componentes relacionados PKI so
implantados como servios de funo da funo
de servidor AD CS. A funo de servidor AD CS
possui diversos componentes conhecidos
como servios de funo. Cada servio de
funo responsvel por uma parte especfica
da infraestrutura do certificado, ao mesmo
tempo em que trabalham juntos para
formar uma soluo completa.

Configurao de servios avanados do Windows Server 2012

6-7

Os servios da funo AD CS so:

AC. Este componente emite certificados para usurios, computadores e servios. Tambm gerencia a
validade do certificado. Vrias ACs podem ser encadeadas para formar uma hierarquia de PKI.

Registro via Web na AC. Este componente fornece um mtodo para emitir e renovar certificados
para usurios, computadores e dispositivos que no esto unidos ao domnio, que no esto
conectados diretamente rede ou que so para usurios de sistemas operacionais no Windows.
Respondente Online. Use este componente para configurar e gerenciar a validao de OCSP e a
verificao de revogao. O Respondente Online decodifica o status de revogao de certificados
especficos, avalia o status desses certificados e retorna uma resposta assinada que contm as
informaes de status de certificado solicitadas. Diferentemente do Windows Server 2008 R2,
voc pode instalar o Respondente Online em qualquer verso do Windows Server 2012. Os dados
de revogao de certificado podem vir de uma CA em um computador que est executando
o Windows Server 2003, o Windows Server 2008, ou podem vir de uma CA no Microsoft.

Servio de Registro de Dispositivo de Rede. Com este componente, os roteadores, os comutadores


e outros dispositivos de rede podem obter certificados do AD CS. No Windows Server 2008 R2,
esse componente est disponvel apenas nas edies Enterprise e Datacenter, mas com
o Windows Server 2012, voc pode instalar esse servio de funo em qualquer verso.

Servio Web de Registro de Certificado. Este componente trabalha como um proxy


entre os computadores de cliente do Windows 7 e do Windows 8 e a AC. Ele novo no
Windows Server 2008 R2 e no Windows Server 2012, e requer que a floresta do Active Directory
esteja pelo menos no nvel do Windows Server 2008 R2. Ele permite que os usurios se conectem
a uma AC por meio de um navegador da Web para executar o seguinte:

Solicitar, renovar e instalar certificados emitidos.

Recuperar CRLs.

Baixar um certificado raiz.

Registrar-se pela Internet ou entre florestas (novo no Windows Server 2008 R2).

Servio Web de Poltica de Registro de Certificado. Este componente novo no Windows Server 2008
R2 e no Windows Server 2012. Ele permite que os usurios obtenham informaes sobre a poltica
de registro de certificado. Combinado com o Servio Web de Registro de Certificado, ele habilita
o registro de certificado baseado em poltica quando o computador cliente no membro
de um domnio ou quando um membro de domnio no est conectado ao domnio.

O que h de novo no AD CS do Windows Server 2012


Como muitas outras funes do Windows Server,
o AD CS foi aprimorado no Windows Server 2012.
A funo do AD CS no Windows Server 2012 ainda
tem os mesmos seis servios de funo conforme
descrito no tpico anterior. Alm disso, ele
fornece vrios novos recursos e capacidades
quando comparado com verses anteriores.

6-8

Implementao dos Servios de Certificados do Active Directory

No Windows Server 2008 R2, alguns dos servios de funo do AD CS exigem uma verso
especfica do Windows Server. Por exemplo, o Servio de Registro de Dispositivo de Rede no funciona
na Windows Server 2008 Standard Edition, somente no Windows Server 2008 Enterprise Edition.
No Windows Server 2012, todos os servios de funo esto disponveis em todas as verses
do Windows Server.
A funo de servidor do AD CS, alm de todos os servios de funo mencionados, pode ser executada
no Windows Server 2012 com a GUI cheia, com a interface de servidor mnima ou em uma instalao
Server Core. Voc pode implantar os servios de funo do AD CS no Windows Server 2012 usando
o Gerenciador do Servidor ou os cmdlets do Windows PowerShell. Alm disso, possvel implantar
os servios de funo trabalhando localmente no computador ou remotamente pela rede.
Da perspectiva do gerenciamento, o AD CS, os seus eventos e a ferramenta Analisador de Prticas
Recomendadas esto agora totalmente integrados ao console do Gerenciador do Servidor, o que
significa que voc pode acessar todas as opes diretamente do Gerenciador do Servidor. O AD CS
tambm totalmente gerencivel usando a interface de linha de comando do Windows PowerShell.
A verso do Windows Server 2012 do AD CS tambm introduz uma nova verso do modelo de certificado
a verso (v4) que fornece novas funcionalidades. Isso ser discutido separadamente na Lio 3.
O Servio Web de Registro de Certificado tambm foi aprimorado no Windows Server 2012. Esse recurso,
apresentado no Windows 7 e no Windows Server 2008 R2, permite que solicitaes de certificado online
venham de domnios no confiveis do AD DS (Servios de Domnio do Active Directory) ou at mesmo
de computadores ou dispositivos que no faam parte de um domnio. No Windows Server 2012,
o AD CS adiciona a capacidade de renovar certificados automaticamente para computadores
que faam parte de domnios no confiveis do AD DS ou que no faam parte de um domnio.
Da perspectiva da segurana, o AD CS no Windows Server 2012 fornece a capacidade de solicitar a
renovao de um certificado com a mesma chave. O Windows Server 2012 tambm d suporte gerao
de chaves protegidas pelo TPM (Trusted Platform Module) usando KSPs (provedores de armazenamento
de chave) baseados no TPM. O benefcio de usar um KSP baseado no TPM a impossibilidade de
exportar chaves que tm o backup do mecanismo do TPM que bloqueia os usurios se eles inserirem
um PIN errado vrias vezes. Para melhorar ainda mais a segurana, voc pode forar a criptografia
de todas as solicitaes de certificado que vm para o AD CS no Windows Server 2012.

Cartes Inteligentes Virtuais


Os cartes inteligentes tm sido usados como uma opo para a autenticao multifator desde o sistema
operacional Microsoft Windows 2000 Server. Os cartes inteligentes fornecem segurana aprimorada
em comparao com as senhas, j que muito mais difcil para um usurio no autorizado acessar e
manter o acesso a um sistema. Alm disso, o acesso a um sistema protegido por carto inteligente
requer que um usurio tenha um carto vlido e conhea o PIN que d acesso ao carto. Por padro,
existe somente uma cpia do carto inteligente, portanto, apenas um indivduo pode usar as credenciais
de logon de cada vez. Alm disso, um usurio notar rapidamente se o carto foi perdido ou roubado,
principalmente se o carto estiver combinado com acesso fsico a portas ou outras funes. Isso reduz
significativamente o risco de roubo de credenciais em comparao a senhas.
No entanto, a implementao da infraestrutura de carto inteligente tem sido, historicamente, mais
cara. Para implementar cartes inteligentes, as empresas tiveram que comprar hardware, como os
leitores de cartes inteligentes e os cartes inteligentes. O custo disso, em alguns casos, impediu
a implantao da autenticao multifator.

Configurao de servios avanados do Windows Server 2012

6-9

Para resolver esses problemas, o AD CS do Windows Server 2012 apresenta uma tecnologia que
fornece a segurana dos cartes inteligentes ao mesmo tempo em que reduz os custos com materiais
e com suporte. Isso feito com o fornecimento de fornecendo Cartes Inteligentes Virtuais. Os Cartes
Inteligentes Virtuais emulam a funcionalidade dos cartes inteligentes tradicionais, mas em vez de
exigirem a compra de hardware adicional, eles utilizam uma tecnologia que os usurios j possuem
e qual provavelmente tm acesso todo o tempo.
Os Cartes Inteligentes Virtuais no Windows Server 2012 utilizam as funcionalidades do chip TPM que
est presente na maioria das placas-me dos computadores produzidos nos ltimos dois anos. Como o
chip j est no computador, no h nenhum custo na compra de cartes inteligentes e leitores de carto
inteligente. Contudo, diferentemente dos cartes inteligentes tradicionais, nos quais o usurio tinha a
posse fsica do carto, com o Carto Inteligente Virtual, um computador (ou para ser mais especfico,
o chip TPM em sua placa-me) age como um carto inteligente. Usando essa abordagem, obtm-se
a autenticao de dois fatores semelhante dos cartes inteligentes tradicionais. Um usurio deve ter
o seu prprio computador (configurado com o Carto Inteligente Virtual) e tambm deve saber o PIN
necessrio para usar o Carto Inteligente Virtual.
importante entender como os Cartes Inteligentes Virtuais protegem as chaves privadas. Os cartes
inteligentes tradicionais tm o um armazenamento e um mecanismo criptogrfico prprios para proteger
as chaves privadas. No cenrio do Carto Inteligente Virtual, as chaves privadas no so protegidas por
isolamento da memria fsica, mas pelas funcionalidades criptogrficas do TPM: todas as informaes
confidenciais armazenadas em um carto inteligente so criptografadas usando o TPM e, em seguida,
armazenadas no disco rgido em formato criptografado. Embora as chaves privadas sejam armazenadas
em um disco rgido (em forma criptografada), todas as operaes criptogrficas ocorrem no ambiente
seguro e isolado do TPM. As chaves privadas nunca deixam esse ambiente na forma no criptografada.
Se o disco rgido do computador for comprometido de qualquer forma, as chaves privadas no podero
ser acessadas, j que elas so protegidas e criptografadas pelo TPM. Para fornecer mais segurana,
voc tambm pode criptografar a unidade com a Criptografia de Unidade BitLocker do Windows.
Para implantar os Cartes Inteligentes Virtuais, voc precisa do AD CS do Windows Server 2012
e um computador de cliente do Windows 8 com um chip TPM na placa-me.

ACs pblicas versus ACs privadas


Quando voc estiver planejando a
implementao da PKI na sua empresa,
uma das primeiras escolhas que dever
fazer ser decidir usar ACs pblicas ou privadas.
possvel estabelecer a PKI usando qualquer
uma dessas abordagens. Se voc decidir usar
uma AC privada, implantar uma funo de
servidor do AD CS e, em seguida, estabelecer
uma PKI interna. Se voc decidir usar uma PKI
externa, no ser necessrio implantar qualquer
servio internamente.

6-10 Implementao dos Servios de Certificados do Active Directory

As duas abordagens tm vantagens e desvantagens, como especificado na tabela a seguir.


Tipo de AC
AC pblica externa

Vantagens

Desvantagens

Confivel para muitos clientes


externos (navegadores da Web,
sistemas operacionais)

Custo mais alto se comparado


a uma AC interna

Requer administrao mnima

AC privada interna

Fornece maior controle sobre o


gerenciamento de certificado
Custo reduzido se comparado
a uma AC pblica

O custo por certificado


A obteno de certificados
mais lenta
Por padro, no confivel para
clientes externos (navegadores
da Web, sistemas operacionais)
Requer mais administrao

Modelos personalizados
Registro automtico
Algumas organizaes comearam a usar uma abordagem hbrida da arquitetura de PKI. Uma abordagem
hbrida usa uma AC pblica externa como AC raiz e uma hierarquia de ACs internas para a distribuio
de certificados. Isso d s organizaes a vantagem de que seus certificados emitidos internamente
sejam confiveis para clientes externos e, ao mesmo tempo, oferece as vantagens de uma AC interna.
A nica desvantagem desse mtodo o custo. Uma abordagem hbrida normalmente a mais cara,
j que os certificados pblicos das ACs so muito caros.
Voc tambm pode implantar uma PKI interna para fins internos, como o EFS (Encrypting File System),
e assinaturas digitais. Para fins externos, como a proteo dos servidores Web e de email com SSL
(Secure Socket Layer), voc deve comprar um certificado pblico. Essa abordagem no muito
cara e, provavelmente, a soluo mais econmica.

O que hierarquia de certificao cruzada?


Como o termo indica, na hierarquia de
certificao cruzada, a AC raiz em cada hierarquia
de AC fornece um certificado da certificao
cruzada para a AC raiz em outra hierarquia de AC.
Em seguida, a outra AC raiz da hierarquia instala
o certificado fornecido. Desse modo, a confiana
flui para todas as ACs subordinadas abaixo
do nvel no qual o certificado da certificao
cruzada foi instalado.

Configurao de servios avanados do Windows Server 2012

Benefcios da certificao cruzada


Uma hierarquia de certificao cruzada fornece os seguintes benefcios:

Fornece a interoperabilidade entre empresas e entre os produtos de PKI

Une PKIs diferentes

Assume a confiana total de uma hierarquia de AC estrangeira

As empresas geralmente implantam certificaes cruzadas para estabelecer uma confiana mtua
no nvel da PKI e tambm para implementar outros aplicativos que confiam na PKI, como o AD RMS
(Active Directory Rights Management Services).
Pergunta: Sua empresa est adquirindo outra empresa. As duas empresas executam PKIs
prprias. O que voc poderia fazer para minimizar a interrupo e continuar fornecendo
servios de PKI de modo integrado?

6-11

6-12 Implementao dos Servios de Certificados do Active Directory

Lio 2

Implantao de autoridades de certificao


A primeira AC que voc instalar ser uma AC raiz. Depois que voc instalar a AC raiz, poder instalar
uma AC subordinada opcionalmente para aplicar restries de poltica e distribuir certificados. Tambm
possvel usar um arquivo CAPolicy.inf para automatizar as instalaes de AC adicionais e fornecer
configuraes adicionais que no esto disponveis com a instalao baseada em GUI. Nesta lio,
voc vai aprender sobre como implantar as ACs no ambiente do Windows Server 2012.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever as opes para implementar as hierarquias de AC.

Explicar as diferenas entre as ACs autnomas e as corporativas.

Descrever as consideraes para implantar uma AC raiz.

Implantar uma AC raiz.

Descrever as consideraes para implantar uma AC subordinada.

Descrever como usar o arquivo CAPolicy.inf para a instalao da AC.

Opes para a implementao de hierarquias de AC


Quando voc decidir implementar a PKI na sua
organizao, uma das primeiras decises que
dever tomar ser o design da sua hierarquia
de AC. A hierarquia de AC determina o design
principal da sua PKI interna e tambm a finalidade
de cada AC na hierarquia. Cada hierarquia de AC
inclui duas ou mais ACs. Normalmente, a segunda
AC (e todas as outras depois dela) implantada
com uma finalidade especfica, porque apenas
a AC raiz obrigatria.
Os tpicos a seguir descrevem alguns cenrios
para a implementao de uma hierarquia de AC.

AC poltica. As ACs polticas so um tipo de AC subordinada localizada diretamente abaixo da AC


raiz em uma hierarquia de AC. As ACs polticas so usadas para emitir certificados de AC para ACs
subordinadas localizadas diretamente abaixo das ACs polticas na hierarquia. Use as ACs polticas
quando diferentes divises, setores ou locais da sua organizao necessitarem de polticas e
procedimentos de emisso diferentes.

Confiana da certificao cruzada. Neste cenrio, duas hierarquias de AC independentes interoperam


quando uma AC em uma hierarquia emite um certificado de AC na outra hierarquia. As confianas
da certificao cruzada so discutidas em mais detalhe posteriormente neste mdulo.

Hierarquia de duas camadas. Em uma hierarquia de duas camadas, h uma AC raiz e pelo menos
uma AC subordinada. Neste cenrio, a AC subordinada responsvel pelas polticas e pela emisso
de certificados a solicitantes.

Configurao de servios avanados do Windows Server 2012

6-13

ACs autnomas versus ACs corporativas


No Windows Server 2012, voc pode implantar
dois tipos de ACs: uma AC autnoma e uma AC
corporativa. Esses tipos no tratam de hierarquia,
mas de funcionalidade e armazenamento de
configurao. A diferena mais importante
entre esses dois tipos de AC a integrao
e a dependncia do Active Directory. Uma AC
autnoma pode funcionar sem o AD DS e no
depende dele. Uma AC corporativa precisa do
AD DS, mas tambm oferece vrios benefcios,
como o registro automtico.
A tabela a seguir detalha as diferenas mais
importantes entre a ACs autnomas e ACs corporativas.
Caracterstica

AC autnoma

AC corporativa

Uso tpico

Uma AC autnoma usada


normalmente para ACs offline,
mas ela pode ser usada para
uma AC que est disponvel
de forma consistente na rede.

Uma AC corporativa geralmente


usada para emitir certificados a usurios,
computadores e servios e no usada
normalmente como uma AC offline.

Dependncias do
Active Directory

Uma AC autnoma no depende


do AD DS e pode ser implantada
em ambientes no pertencentes
ao Active Directory.

Uma AC corporativa necessita do AD DS,


que pode ser usado como uma
configurao e como um banco de dados
de registro. Uma AC corporativa tambm
oferece um ponto de publicao para
certificados emitidos para usurios e
computadores.

Mtodos de
solicitao de
certificados

Os usurios s podem solicitar


certificados de uma AC autnoma
usando um procedimento manual
ou registro via Web.

Os usurios podem solicitar certificados


de uma AC corporativa usando os
seguintes mtodos:

Mtodos de
emisso de
certificados

Todas as solicitaes devem ser


aprovadas manualmente por um
administrador de certificado.

Registro manual

Registro via Web

Registro automtico

Agente de registro

As solicitaes podem ser emitidas ou


negadas automaticamente, de acordo
com a DACL (lista de controle de acesso
discricionrio) do modelo.

Geralmente, a AC raiz (que a primeira AC implantada) implantada como uma AC autnoma e fica
offline depois de emitir um certificado para ela mesma e para uma AC subordinada. Opcionalmente,
uma AC subordinada geralmente implantada como uma AC corporativa e configurada em um dos
cenrios descritos no tpico anterior.

6-14 Implementao dos Servios de Certificados do Active Directory

Consideraes para a implantao de uma AC raiz


Antes de implantar uma AC raiz, h vrias
decises que voc deve tomar. Primeiro, voc
deve decidir se vai implantar uma AC raiz offline.
Com base nessa deciso, voc tambm deve
decidir se vai implantar uma AC raiz autnoma
ou uma AC raiz corporativa.
Normalmente, se voc estiver implantando
uma hierarquia de AC de uma camada
(o que significa a implantao de uma nica AC),
ser mais comum escolher a AC raiz corporativa.
No entanto, se voc estiver implantando uma
hierarquia de duas camadas, o cenrio mais
comum ser a implantao de uma AC raiz autnoma e uma AC subordinada corporativa.
O prximo fator a se considerado o tipo de instalao do sistema operacional. H suporte para
o AD CS nos cenrios de instalao completa e da instalao Server Core. A instalao Server Core
fornece uma superfcie de ataque menor e menos sobrecarga administrativa e, portanto, deve
ser considerada para o AD CS em um ambiente corporativo. No Windows Server 2012, tambm
possvel usar o Windows PowerShell para implantar e gerenciar a funo AD CS.
Voc no pode alterar os nomes dos computadores nem as associaes do domnio do computador
depois que implantar uma AC de qualquer tipo no computador. Tambm no possvel alterar
o nome do domnio. Portanto, importante determinar esses atributos antes de instalar uma AC.
A tabela a seguir detalha as consideraes adicionais.
Considerao
Um CSP (provedor de servios de
criptografia) que usado para gerar
uma nova chave

Descrio
O CSP padro o Microsoft Strong Cryptographic
Provider.
Qualquer provedor cujo nome comece com uma
cerquilha (#) um provedor de CNG (Cryptography
Next Generation).

O comprimento da chave em caracteres

O comprimento da chave padro do Microsoft Strong


Cryptographic Provider 2.048 caracteres. Esse o valor
mnimo recomendado para uma AC raiz.

O algoritmo de hash que usado para


assinar certificados emitidos por uma AC

O valor padro do algoritmo de hash SHA-1.

O perodo de validade dos certificados


emitidos por uma AC

O valor padro para certificados cinco anos.

O status do servidor raiz (online


ou offline)

O servidor raiz deve ser implantado como uma AC offline.


Isso aumenta a segurana e protege o certificado raiz
(porque ele no est disponvel para invadir a rede).

Configurao de servios avanados do Windows Server 2012

6-15

Especificamente, se voc decidir implantar uma AC raiz autnoma offline, h algumas consideraes
especficas s quais deve prestar ateno:

Antes de emitir um certificado subordinado da AC raiz, certifique-se de fornecer pelo menos um local
de CDP e AIA que vai estar disponvel para todos os clientes. Isso deve ser feito porque, geralmente,
o CDP e o AIA esto localizados na prpria AC raiz autnoma. Portanto, quando voc retirar a AC raiz
da rede, a verificao de revogao vai falhar, j que os locais CDP e AIA estaro inacessveis. Quando
voc definir esses locais, copie as informaes de CRL e AIA manualmente para esse local.

Defina um perodo de validade para as CRLs publicadas pela AC raiz para um perodo longo (por
exemplo, um ano). Isso significa que voc ter que ativar a AC raiz uma vez por ano para publicar
uma nova CRL e, depois, copi-la para um local que esteja disponvel para os clientes. Caso no faa
isso, depois que a CRL na AC raiz expirar, a verificao de revogao de todos os certificados falhar.

Use a Poltica de Grupo para publicar o certificado da AC raiz em um repositrio de autoridades de


certificao raiz em todos os computadores servidores e clientes. Voc deve fazer isso manualmente
porque uma AC autnoma no pode faz-lo de maneira automtica, diferentemente de uma AC
corporativa. Tambm possvel publicar o certificado da AC raiz no AD DS usando a ferramenta
de linha de comando Certutil.

Demonstrao: Implantao de uma AC raiz


Nesta demonstrao, voc ver como implantar uma AC raiz corporativa.

Etapas da demonstrao
Implantar uma AC raiz
1.

No Gerenciador do Servidor, adicione a funo Servios de Certificados do Active Directory.

2.

Selecione o servio de funo Autoridade de Certificao.

3.

Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
de Certificados do Active Directory no servidor de destino.

4.

Selecione para instalar a AC raiz corporativa.

5.

Configure o comprimento da chave como 4096.

6.

D AC o nome AdatumRootCA.

6-16 Implementao dos Servios de Certificados do Active Directory

Consideraes para a implantao de uma AC subordinada


Voc pode usar uma AC subordinada para
implementar restries de poltica da PKI e para
distribuir certificados para os clientes. Depois de
instalar uma AC raiz para a organizao, voc
pode instalar uma ou mais ACs subordinadas.
Quando voc estiver usando uma AC subordinada
para distribuir certificados para usurios ou
computadores que tm uma conta em um
ambiente do AD DS, ser possvel instalar a
AC subordinada como uma AC corporativa.
Em seguida, voc pode usar os dados das contas
dos clientes no AD DS para distribuir e gerenciar
certificados e para publicar certificados do AD DS. Para concluir esse procedimento, entretanto, voc deve
ser um membro do grupo de administradores locais ou ter permisses equivalentes. Se a AC subordinada
for uma AC corporativa, voc tambm precisar ser um membro do grupo dos administradores do
domnio ou ter permisses equivalentes. Da perspectiva da segurana, um cenrio recomendado
ter uma AC raiz autnoma offline e uma AC subordinada corporativa.
Uma AC subordinada geralmente implantada para obter algumas das funcionalidades a seguir:

Uso. Voc pode emitir certificados com diversas finalidades, como S/MIME (Secure Multipurpose
Internet Mail Extensions), EFS (Encrypting File System) ou RAS (Servio de Acesso Remoto). A poltica
de emisso para esses usos pode ser diferente e a separao fornece uma base para administrar
essas polticas.

Divises organizacionais. Voc pode ter polticas diferentes para a emisso de certificados,
dependendo da funo de uma entidade na organizao. possvel criar ACs subordinadas
para separar e administrar essas polticas.

Divises geogrficas. As organizaes geralmente tm entidades em diversos sites fsicos.


A conectividade de rede limitada entre esses sites pode exigir ACs subordinadas individuais
para muitos ou todos os sites.

Balanceamento de carga. Se voc vai usar a PKI para emitir e gerenciar um grande nmero de
certificados, a existncia de apenas uma AC pode resultar em uma carga de rede considervel
para essa nica AC. O uso de vrias ACs subordinadas para emitir o mesmo tipo de certificado
divide a carga de rede entre as ACs.

Backup e tolerncia a falhas. Vrias ACs aumentam a possibilidade de que a rede sempre tenha
as ACs operacionais disponveis para responder a solicitaes do usurio.

Configurao de servios avanados do Windows Server 2012

6-17

Como usar o arquivo CAPolicy.inf na instalao


Se voc deseja implantar uma AC raiz
ou subordinada e quiser predefinir alguns
valores para uso durante a instalao e definir
alguns parmetros adicionais, poder usar o
arquivo CAPolicy.inf para concluir essas etapas.
O arquivo CAPolicy.inf um arquivo de texto
sem formatao que contm vrias configuraes
usadas durante a instalao da funo AD CS
ou durante a renovao do certificado de AC.
O arquivo CAPolicy.inf no exigido para instalar
o AD CS, mas sem ele, as configuraes padro
sero aplicadas e, em muitos casos, elas so
insuficientes. Voc pode usar o arquivo CAPolicy.inf para configurar as ACs em implantaes mais
complicadas.
Cada arquivo CAPolicy.inf dividido em sees e tem uma estrutura simples que pode ser descrita
desta forma:

Uma seo uma rea no arquivo .inf que contm um grupo lgico de chaves. Uma seo sempre
aparece entre colchetes no arquivo .inf.

Uma chave o parmetro que est esquerda do sinal de igual (=).

Um valor o parmetro que est direita do sinal de igual (=).

Por exemplo, se voc deseja especificar um ponto de Acesso s Informaes da Autoridade no arquivo
CAPolicy.inf, dever usar esta sintaxe:
[AuthorityInformationAccess]
URL=http://pki.adatum.com/CertData/adatumCA.crt

Nesse exemplo, AuthorityInformationAccess uma seo, a URL a chave


e http://pki.adatum.com/CertData/adatumCA.crt o valor.
Tambm possvel especificar algumas configuraes do servidor de AC no arquivo CAPolicy.inf.
Um exemplo da seo que especifica essas configuraes :
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0

Observao: Todos os parmetros dos exemplos anteriores so opcionais.

6-18 Implementao dos Servios de Certificados do Active Directory

Voc tambm pode usar o arquivo CAPolicy.inf durante a instalao do AD CS para definir o seguinte:

Declarao de prtica de certificao: descreve as prticas que a AC usa para emitir certificados.
Isso inclui os tipos de certificados emitidos, as informaes necessrias emisso, renovao
e recuperao de certificados e outros detalhes sobre a configurao da AC.

OID (identificador de objeto): identifica um objeto ou um atributo especfico.

Intervalos de publicao da CRL: define o intervalo entre as publicaes da CRL base.

Configuraes de renovao da AC: define as configuraes de renovao desta forma:


o

Tamanho da chave: define o comprimento do par de chaves usado durante a renovao


da AC raiz.

Perodo de validade do certificado: define o perodo de validade do certificado de uma AC raiz.

Caminhos CDP e AIA: fornecem o caminho usado para as instalaes e renovaes da AC raiz.

Depois de criado o arquivo CAPolicy.inf, voc deve copi-lo na pasta %systemroot% do servidor
(por exemplo, C:\Windows) antes de instalar a funo AD CS ou antes de renovar o certificado de AC.
Observao: O arquivo CAPolicy.inf processado para as instalaes e renovaes da AC
raiz e da AC subordinada.

Configurao de servios avanados do Windows Server 2012

6-19

Laboratrio A: Implantao e configurao da hierarquia


de autoridades de certificao
Cenrio
Como a A. Datum Corporation expandiu, os seus requisitos de segurana tambm aumentaram.
O departamento de segurana est interessado principalmente em habilitar o acesso seguro a sites
crticos e em oferecer segurana adicional para os recursos. Para resolver esses e outros requisitos de
segurana, a A. Datum decidiu implementar uma PKI usando a funo AD CS no Windows Server 2012.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar a
implantao do AD CS.

Objetivos

Implantar uma AC raiz autnoma

Implantar uma AC subordinada corporativa

Configurao do laboratrio
Tempo previsto: 50 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-SVR2, 24412B-LON-CA1


e 24412B-LON-CL1. No entre at ser instrudo a faz-lo.

6-20 Implementao dos Servios de Certificados do Active Directory

Exerccio 1: Implantao de uma AC raiz autnoma


Cenrio
A A. Datum deseja comear a usar certificados para diversas finalidades. Voc precisa instalar a
infraestrutura de AC apropriada. Como eles esto usando o Windows Server 2012 AD DS, voc decidiu
implementar a funo AD CS. Quando voc estava revisando os designs disponveis, decidiu implementar
uma AC raiz autnoma. Essa AC fica offline depois de emitir um certificado para a AC subordinada.
As principais tarefas deste exerccio so:
1.

Instalar a funo de servidor do AD CS (Servios de Certificados do Active Directory) em um servidor


associado que no pertence a um domnio.

2.

Configurar um novo local para a revogao de certificado.

3.

Criao de um registro de host DNS para LON-CA1 e configurao do compartilhamento.

Tarefa 1: Instalar a funo de servidor do AD CS (Servios de Certificados


do Active Directory) em um servidor associado que no pertence a um domnio
1.

Entre em LON-CA1 como Administrador usando a senha Pa$$w0rd.

2.

Use o Assistente de Adio de Funes e Recursos para instalar a funo Servios de Certificados
do Active Directory.

3.

Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
de Certificados do Active Directory no servidor de destino.

4.

Configure a funo AD CS como uma AC raiz autnoma. Nomeie-a AdatumRootCA.

5.

Defina o comprimento da chave como 4096 e aceite todos os outros valores como padro.

Tarefa 2: Configurar um novo local para a revogao de certificado


1.

Em LON-CA1, abra o console de Autoridade de Certificao.

2.

Abra a caixa de dilogo Propriedades da AdatumRootCA.

3.

Configure os novos locais para CDP como http://lon-svr1.adatum.com/CertData/


<NomeCA><SufixoNomeCRL><CRLDeltaPermitida>.crl.

4.

Selecione as seguintes opes

5.

Incluir na extenso CDP de certificados emitidos

Incluir em listas de certific. revogados. Usado para encontrar listas delta

Configure os novos locais de AIA em http://lon-svr1.adatum.com/CertData/


<NomeServidorDNS>_<NomeCA><NomeCertificado>.crt

Observao: Certifique-se de que os locais de CDP e AIA sejam inseridos exatamente


conforme escrito aqui.
6.

Marque a caixa de seleo Incluir na extenso AIA de certificados emitidos.

7.

Publique a lista de certificados revogados em LON-CA1.

8.

Exporte o certificado da AC raiz e copie o arquivo .cer para \\lon-svr1\C $.

9.

Copie o contedo da pasta C:\Windows\System32\CertSrv\CertEnroll para \\lon-svr1\C$.

Configurao de servios avanados do Windows Server 2012

6-21

Tarefa 3: Criao de um registro de host DNS para LON-CA1 e configurao


do compartilhamento
1.

Em LON-DC1, abra o console do Gerenciador DNS.

2.

Crie um registro de host para o computador LON-CA1 na zona de pesquisa direta de Adatum.com.

3.

Use o endereo IP 172.16.0.40 para o registro de host de LON-CA1.

4.

No computador LON-CA1, ative o compartilhamento de arquivos e impressoras nas redes pblicas


e de convidado.

Resultados: Depois de concluir este exerccio, voc ter implantado uma AC raiz autnoma.

Exerccio 2: Implantao de uma AC subordinada corporativa


Cenrio
Depois da implantao da AC raiz autnoma, a prxima etapa implantar uma AC subordinada
corporativa. A A. Datum deseja usar uma AC subordinada corporativa para utilizar a integrao do AD DS.
Alm disso, como a AC raiz autnoma, recomendvel publicar o seu certificado para todos os clientes.
As principais tarefas deste exerccio so:
1.

Instalar e configurar o AD CS em LON-SVR1.

2.

Instalar um certificado de AC (autoridade de certificao) subordinada.

3.

Publicar o certificado da AC raiz pela Poltica de Grupo.

Tarefa 1: Instalar e configurar o AD CS em LON-SVR1


1.

Entre em LON-SVR1 como Adatum\Administrador com a senha Pa$$w0rd.

2.

Instale a funo Servios de Certificados do Active Directory em LON-SVR1. Inclua os servios


de funo Autoridade de Certificao e Registro na Web de Autoridade de Certificao.

3.

Depois que a instalao tiver sido concluda com sucesso, clique em Configurar os Servios
de Certificados do Active Directory no servidor de destino.

4.

Selecione os servios de funo Autoridade de Certificao e Registro na Web de Autoridade


de Certificao.

5.

Configure LON-SVR1 para ser uma AC Corporativa.

6.

Configure o tipo de AC para ser uma AC Subordinada.

7.

Para o Nome de Autoridade de Certificao digite Adatum-IssuingCA.

8.

Salve o arquivo de solicitao na unidade local.

Tarefa 2: Instalar um certificado de AC (autoridade de certificao) subordinada


1.

Em LON-SVR1, instale o certificado ACRaiz no repositrio de Autoridades de Certificao Confiveis.

2.

Navegue at o Disco Local (C:) e copie os arquivos AdatumRootCA.crl e LON-CA1


_AdatumRootCA.crt em C:\inetpub\wwwroot\CertData.

3.

Copie o arquivo de solicitao LON-SVR1.Adatum.com_Adatum-IssuingCA.req em \\lon-ca1\C$\.

4.

Alterne para LON-CA1.

6-22 Implementao dos Servios de Certificados do Active Directory

5.

No console Autoridade de Certificao em LON-CA1, envie uma nova solicitao de certificado


usando o arquivo .req copiado na etapa 3.

6.

Emita o certificado e exporte-o para o formato p7b com cadeia completa. Salve o arquivo em
\\lon-svr1\C$\SubCA.p7b.

7.

Alterne para LON-SVR1.

8.

Instale o certificado da AC subordinada em LON-SVR1 usando o console da Autoridade


de Certificao.

9.

Inicie o servio.

Tarefa 3: Publicar o certificado da AC raiz pela Poltica de Grupo


1.

Em LON-DC1, no Gerenciador do Servidor, abra o GPMC (Console de Gerenciamento de Poltica


de Grupo).

2.

Edite a Default Domain Policy.

3.

Publique o arquivo RootCA.cer de \\lon-svr1\C$ no repositrio de Autoridades de Certificao


Confiveis, que est localizado em Configurao do Computador\Polticas\Configuraes do
Windows\Configuraes de Segurana\Polticas de Chave Pblica.

Resultados: Depois de concluir este exerccio, voc ter implantado e configurado uma AC subordinada
corporativa.

Para se preparar para o prximo laboratrio

Mantenha todas as mquinas virtuais ligadas para o prximo laboratrio. No reverta nenhuma
das mquinas virtuais.

Configurao de servios avanados do Windows Server 2012

6-23

Lio 3

Implantao e gerenciamento de modelos de certificados


Os modelos de certificados definem como um certificado pode ser solicitado e como ele pode ser usado.
Os modelos so configurados na AC e so armazenados no banco de dados do Active Directory. H
diferentes verses de modelos: a AC corporativa do Windows 2000 Server d suporte aos modelos de
certificado verso 1, o Windows Server 2003 Enterprise Edition d suporte aos modelos verses 1 e 2,
e o Windows Server 2008 Enterprise Edition d suporte s verses 1, 2 e 3 dos modelos de certificados.
O Windows Server 2012 apresenta os modelos verso 4, mas ele ainda d suporte s trs verses
de modelos anteriores.
Os dois tipos de categorias dos modelos de certificados so usurios e computadores, e cada uma pode
ser usada para vrias finalidades. Voc pode atribuir permisses de Controle Total, Leitura, Gravao,
Registro e Registro Automtico aos modelos de certificados. Tambm possvel atualizar os modelos
de certificados modificando o modelo de certificado original, copiando um modelo ou substituindo os
modelos de certificados existentes. Nesta lio, voc vai aprender como gerenciar e implantar modelos
de certificados.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever modelos de certificados.

Descrever verses de modelos de certificados no Windows Server 2012.

Configurar as permisses do modelo de certificado.

Definir as configuraes do modelo de certificado.

Descrever as opes para a atualizao de um modelo de certificado.

Explicar como modificar e habilitar um modelo de certificado.

O que so modelos de certificado?


Os modelos de certificados permitem que
os administradores personalizem o mtodo
de distribuio de certificados, definam
as finalidades do certificado e autorizem
o tipo de uso permitido por um certificado.
Os administradores podem criar modelos e
implant-los rapidamente na empresa usando
a GUI interna ou os utilitrios de gerenciamento
de linha de comando.
Associada a cada modelo de certificado est a
DACL, que define quais entidades de segurana
tm permisso para ler e configurar o modelo e
para fazer o registro ou o registro automtico de certificados baseados no modelo. Os modelos de
certificados e as suas permisses so definidos no AD DS e so vlidos dentro da floresta. Se mais de
uma AC corporativa estiver sendo executada na floresta do Active Directory, as alteraes de permisso
afetaro todas as ACs.

6-24 Implementao dos Servios de Certificados do Active Directory

Quando voc definir um modelo de certificado, a definio do modelo de certificado dever


estar disponvel para todas as ACs na floresta. Isso realizado armazenando as informaes do
modelo de certificado no contexto de nomenclatura de configurao, em que CN=Configurao e
DC=NomeRaizdeFloresta. A replicao dessas informaes depende do agendamento da replicao
do Active Directory. O modelo de certificado poder no estar disponvel para todas as ACs at que
a replicao seja concluda. O armazenamento e a replicao so executados automaticamente.
Observao: Antes do Windows Server 2008 R2, somente o
Windows Server Enterprise Edition dava suporte ao gerenciamento de modelos
de certificados. No Windows Server 2008 R2 e no Windows Server 2012, voc tambm
pode gerenciar modelos de certificados na Standard Edition.

Verses dos modelos de certificados no Windows Server 2012


A AC na Autoridade de Certificao
do Windows Server 2012 d suporte a
quatro verses de modelos de certificados.
As verses 1, 2 e 3 dos modelos de certificados
foram herdadas das verses anteriores
do Windows Server, enquanto a verso 4
nova no Windows Server 2012.
As verses dos modelos de certificados
correspondem verso do sistema operacional
do Windows Server. O Windows 2000 Server,
o Windows Server 2003, o Windows Server 2008
e o Windows Server 2012 correspondem
respectivamente verso 1, verso 2, verso 3 e verso 4.
Alm de corresponderem a verses do sistema operacional Windows Server, as verses dos modelos
de certificados tm tambm algumas diferenas funcionais como a seguir:

O sistema operacional Windows 2000 Advanced Server d suporte verso 1 dos modelos de
certificados. A nica modificao permitida nos modelos da verso 1 a alterao das permisses
para permitir ou desaprovar o registro do modelo de certificado. Quando voc instala uma AC
corporativa, os modelos de certificados verso 1 so criados por padro. Desde 13 de julho de 2010,
a Microsoft no d mais suporte ao Windows 2000 Server.

Os sistemas operacionais Windows Server 2003 do suporte aos modelos verso 1 e 2. Voc pode
personalizar vrias configuraes nos modelos verso 2. A instalao padro fornece vrios modelos
pr-configurados para a verso 2. Voc pode adicionar modelos da verso 2 com base nos requisitos
da sua organizao. Alm disso, possvel duplicar um modelo de certificado verso 1 para criar uma
nova verso 2 do modelo. Voc pode modificar e proteger o modelo de certificado verso 2 recmcriado. Quando so acrescentados novos modelos a uma AC corporativa do Windows Server 2003,
eles so, por padro, da verso 2.

Configurao de servios avanados do Windows Server 2012

6-25

Os sistemas operacionais Windows Server 2008 Enterprise do suporte verso 3 dos novos modelos
de certificados. Alm disso, h suporte s verses 1 e 2. Os modelos de certificados verso 3 do
suporte a vrios recursos de uma AC corporativa do Windows Server 2008, como CNG. A CNG
d suporte aos algoritmos de criptografia Suite B, como a ECC (criptografia de curva elptica).
No Windows Server 2008 Enterprise, voc pode duplicar os modelos padro verses 1 e 2
para atualiz-los de acordo com a verso 3.
O Windows Server 2008 fornece dois novos modelos de certificado por padro: Autenticao
Kerberos e Assinatura de Resposta OCSP. A verso do sistema operacional Windows Server 2008 R2
tambm dava suporte aos modelos de certificados. Quando voc usa os modelos de certificado
verso 3, pode usar a criptografia CNG e os algoritmos de hash para solicitaes de certificado,
certificados emitidos e proteo das chaves privadas nos cenrios de troca e de arquivamento
de chave.

Os sistemas operacionais Windows Server 2012 do suporte aos modelos de certificado verso 4
e a todas as outras verses de edies anteriores do Windows Server. Esses modelos de certificados
esto disponveis apenas no Windows Server 2012 e no Windows 8. Para ajudar os administradores
a diferenciar quais recursos tm suporte em qual verso do sistema operacional, a guia
Compatibilidade foi adicionada guia Propriedades do modelo de certificado. Ela marca as
opes como no disponveis nas propriedades do modelo de certificado dependendo das verses
do sistema operacional da AC e do certificado do cliente. Os modelos de certificados verso 4
tambm do suporte a CSPs e a KSPs. Eles tambm podem ser configurados para exigir renovao
com a mesma chave.

A atualizao dos modelos de certificados um processo que se aplica somente a situaes nas quais
a AC tenha sido atualizada do Windows Server 2008 ou 2008 R2 para o Windows Server 2012. Aps
a atualizao, possvel atualizar os modelos de certificados iniciando o console do Gerenciador
de AC e clicando em Sim no aviso de atualizao.

Configurao das permisses do modelo de certificado


Para configurar as permisses dos modelos
de certificados, voc precisa definir a DACL na
guia Segurana de cada modelo de certificado.
As permisses atribudas a um modelo de
certificado definem quais usurios ou grupos
podem ler, modificar, registrar ou registrar
automaticamente esse modelo de certificado.
Voc pode atribuir as seguintes permisses
aos modelos de certificados:

Controle Total. A permisso Controle Total


permite que uma entidade de segurana
modifique todos os atributos de um modelo
de certificado, o que inclui as permisses do prprio modelo de certificado. Ela tambm
inclui a permisso para modificar o descritor de segurana do modelo de certificado.

Leitura. A permisso Leitura permite que um usurio ou um computador exiba o modelo


de certificado durante o registro em um certificado. A permisso Leitura tambm exigida
pelo servidor do certificado para encontrar os modelos de certificados no AD DS.

6-26 Implementao dos Servios de Certificados do Active Directory

Gravao. A permisso Gravao permite que um usurio ou um computador modifique os


atributos de um modelo de certificado, o que inclui as permisses atribudas ao prprio modelo
de certificado.

Registro. A permisso Registro permite que um usurio ou um computador se registre em um


certificado com base no modelo de certificado. No entanto, para se registrar em um certificado,
voc tambm deve ter permisso de Leitura no modelo de certificado.

Registro Automtico. A permisso Registro Automtico permite que um usurio ou


um computador receba um certificado pelo processo de registro automtico. No entanto,
a permisso Registro Automtico requer que o usurio ou o computador tambm tenha
as permisses de Leitura e Registro em um modelo de certificado.

Como prtica recomendada, voc deve atribuir permisses de modelos de certificados somente a grupos
globais ou universais. Isso acontece porque os objetos dos modelos de certificados so armazenados no
contexto de nomenclatura de configurao no AD DS. Voc no pode atribuir permisses usando os
grupos locais encontrados em um domnio do Active Directory. Voc nunca deve atribuir permisses de
modelos de certificados a um usurio individual ou a contas de computadores.
Como prtica recomendada, mantenha a permisso Leitura alocada ao grupo Usurios Autenticados. Essa
alocao de permisso permite que todos os usurios e computadores exibam os modelos de certificados
no AD DS. Essa atribuio de permisso tambm permite que a AC em execuo no contexto do sistema
de uma conta de computador exiba os modelos de certificados durante a atribuio de certificados.

Configurao de modelos de certificados


Alm de definir as configuraes de segurana
dos modelos de certificados, voc tambm
pode definir vrias outras configuraes em
cada modelo. Lembre-se, no entanto, de que
o nmero de opes configurveis depende da
verso do modelo de certificado. Por exemplo,
os modelos de certificados verso 1 no permitem
a modificao de qualquer configurao com
exceo da segurana, enquanto os modelos de
certificados de verses mais recentes permitem
que voc configure a maioria das opes
disponveis.
O Windows Server 2012 oferece vrios modelos de certificados padro com finalidades que incluem
a assinatura de cdigo (para assinar digitalmente o software), EFS (para criptografar dados) e a
capacidade de os usurios fazerem logon com um carto inteligente. Para personalizar um modelo
para a sua empresa, duplique o modelo e modifique a configurao do certificado.

Configurao de servios avanados do Windows Server 2012

6-27

Por exemplo, voc pode configurar o seguinte:

Formato e contedo de um certificado com base no uso planejado do certificado

Observao: O uso planejado de um certificado pode estar relacionado aos usurios


ou aos computadores, com base nos tipos de implementao de segurana exigidos para
o uso da PKI.

Processo de criao e envio de uma solicitao de certificado vlida

Suporte a CSP

Comprimento da chave

Perodo de validade

Processo de registro ou requisitos de registro

Voc tambm pode definir a finalidade do certificado nas configuraes do certificado. Os modelos
de certificados podem ter as seguintes finalidades:

nica finalidade. Um certificado de nica finalidade tem apenas um objetivo, como permitir
que os usurios faam logon com um carto inteligente. As organizaes utilizam certificados
de finalidade nica quando a configurao do certificado difere dos outros certificados que esto
sendo implantados. Por exemplo, se todos os usurios vo receber um certificado para o logon
com carto inteligente, mas apenas dois grupos vo receber um certificado do EFS, as organizaes
geralmente mantm esses certificados e modelos separados para assegurar que os usurios recebam
apenas os certificados exigidos.

Vrias finalidades. Um certificado de vrias finalidades tem mais de uma finalidade (geralmente
no relacionadas) ao mesmo tempo. Enquanto alguns modelos (como o modelo Usurio) tm
vrias finalidades por padro, as organizaes geralmente modificam os modelos para que tenham
finalidades adicionais. Por exemplo, se uma empresa pretende emitir certificados para trs finalidades,
essas finalidades podero ser combinadas em um nico modelo de certificado para diminuir
o esforo de administrao e manuteno.

Opes para a atualizao do modelo de certificado


A hierarquia de AC da maioria das organizaes
tem um modelo de certificado para cada funo
de trabalho. Por exemplo, pode haver um modelo
de certificado para a criptografia de arquivo e
outro para a assinatura de cdigo. Alm disso,
possvel que haja alguns modelos que
abrangem funes da maioria dos grupos
comuns de entidades.
Como um administrador de TI, voc pode precisar
modificar um modelo de certificado existente
por causa de configuraes incorretas ou outros
problemas no modelo de certificado original.
Talvez seja necessrio tambm mesclar vrios modelos de certificados existentes em um nico modelo.

6-28 Implementao dos Servios de Certificados do Active Directory

Voc pode atualizar um modelo de certificado modificando o modelo ou substituindo o modelo


existente:

Modificar o modelo de certificado original. Para modificar um modelo de certificado da verso 2,


3 ou 4, voc precisa fazer alteraes e aplic-las ao modelo. Depois disso, qualquer certificado
emitido por uma AC baseada nesse modelo de certificado incluir as modificaes feitas.

Substituir modelos de certificados existentes. A hierarquia de AC de uma organizao pode ter vrios
modelos de certificados que fornecem a mesma finalidade ou uma similar. Nesse cenrio, voc pode
substituir os vrios modelos de certificados usando um nico modelo de certificado. Essa substituio
pode ser feita no console Modelos de Certificados designando que um novo modelo de certificado
substitua os modelos de certificados existentes.

Demonstrao: Modificao e habilitao de um modelo de certificado


Nesta demonstrao, voc aprender como modificar e habilitar um modelo de certificado.

Etapas da demonstrao
Modificar e habilitar um modelo de certificado
1.

Em LON-SVR1, abra o console Modelos de Certificados.

2.

Examine a lista de modelos disponveis.

3.

Abra as Propriedades do modelo de certificado IPsec e examine as configuraes disponveis.

4.

Duplique o modelo de certificado Trocar Usurio. Nomeie-o Trocar Usurio Teste1


e configure-o para substituir o modelo Trocar Usurio.

5.

Permita que os usurios autenticados se registrem no modelo Trocar Usurio Teste1.

6.

Publique o modelo em LON-SVR1.

Configurao de servios avanados do Windows Server 2012

6-29

Lio 4

Implementao da distribuio e revogao


de certificados
Uma das etapas da implantao da PKI na sua organizao ser definir os mtodos de distribuio
e registro de certificados. Alm disso, durante o processo de gerenciamento de certificado, haver
momentos em que talvez seja necessrio revogar certificados. Alguns motivos para revogar certificados
podem incluir o comprometimento de uma chave ou quando algum deixa a organizao. Voc precisa
verificar se os clientes de rede podem determinar quais certificados foram revogados antes de aceitar
as solicitaes de autenticao. Para garantir escalabilidade e alta disponibilidade, voc pode implantar
o Respondente Online do AD CS para fornecer o status de revogao do certificado. Nesta lio, voc
aprender sobre mtodos para a distribuio e revogao de certificados.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever as opes de registro de certificados.

Descrever como o registro automtico funciona.

Descrever o Agente de Registro Restrito.

Explicar como configurar o Agente de Registro Restrito.

Descrever o Servio de Registro de Dispositivo de Rede.

Explicar como funciona a revogao de certificados.

Descrever as consideraes para a publicao de AIAs e CDPs.

Descrever um Respondente Online.

Configurar o Respondente Online.

Opes de registro de certificado


No Windows Server 2012, voc pode usar vrios
mtodos para registrar um certificado de usurio
ou de computador. O uso desses mtodos
depende de cenrios especficos. Por exemplo,
provvel que voc use o registro automtico
para implantar muitos certificados para um
grande nmero de usurios ou computadores,
enquanto provavelmente usaria o registro
manual para certificados dedicados a entidades de
segurana especficas.

6-30 Implementao dos Servios de Certificados do Active Directory

A lista a seguir descreve os diferentes mtodos de registro e quando us-los:

Registro automtico. Usando este mtodo, o administrador define as permisses e a configurao


de um modelo de certificado. Essas definies ajudam o solicitante a pedir, recuperar e renovar
certificados automaticamente sem interao com o usurio final. Esse mtodo usado para
computadores de domnio do AD DS. O certificado deve ser configurado para o registro
automtico por meio da Poltica de Grupo.

Registro manual. Usando esse mtodo, a chave privada e uma solicitao de certificado so geradas
em um dispositivo, como um servio Web ou um computador. A solicitao de certificado , ento,
transportada para a AC para gerar o certificado solicitado. O certificado transportado de volta
ao dispositivo para a instalao. Use esse mtodo quando o solicitante no puder se comunicar
diretamente com a AC ou se o dispositivo no der suporte ao registro automtico.

Registro via Web na AC. Usando esse mtodo, voc pode habilitar uma AC de site de modo que
os usurios possam obter certificados. Para usar um registro via Web na AC, voc deve instalar
o IIS (Internet Information Server) e a funo de registro via Web na AC do AD CS. Para obter um
certificado, o solicitante faz logon no site, seleciona o modelo de certificado apropriado e envia uma
solicitao. O certificado ser emitido automaticamente se o usurio tiver as permisses apropriadas
para se registrar no certificado. O mtodo de registro via Web na AC dever ser usado para emitir
certificados quando o registro automtico no puder ser usado. Isso pode acontecer no caso
de uma solicitao avanada de certificado. No entanto, h casos em que o registro automtico
pode ser usado para alguns certificados, mas no para todos.

Registro em nome de (agente de registro). Usando esse mtodo, um administrador de AC cria


uma conta de agente de registro para um usurio. O usurio com os direitos de agente de registro
pode registrar certificados em nome de outros usurios. Use esse mtodo, por exemplo, se precisar
permitir que um gerenciador pr-carregue certificados de logon de novos funcionrios em cartes
inteligentes.

Como funciona o registro automtico?


Um dos mtodos mais comuns para implantar
certificados em um ambiente do Active Directory
o registro automtico. Esse mtodo fornece um
modo automatizado de implantar os certificados
em usurios e em computadores dentro da PKI.
Voc pode usar os ambientes de registro
automtico que satisfazem os requisitos
especficos, como o uso de modelos de
certificados e Poltica de Grupo no AD DS.
No entanto, importante observar que voc
no pode usar o registro automtico com uma
AC autnoma. Voc deve ter uma AC corporativa
disponvel para utilizar o registro automtico.
Voc pode usar autoenrollment para implantar key.based pblico automaticamente certifica aos usurios
e computadores em uma organizao. O administrador dos Servios de certificado duplica um modelo de
certificado e configura as permisses para permitir as permisses Registro e Registro Automtico dos
usurios que recebero os certificados. Polticas de Grupo baseadas em domnio, como polticas baseadas
em computadores e usurios, podem ativar e gerenciar o registro automtico.

Configurao de servios avanados do Windows Server 2012

6-31

Por padro, a Poltica de Grupo aplicada quando se reinicia os computadores ou no logon de usurios.
Tambm por padro, a Poltica de Grupo atualizada a cada 90 minutos em membros do domnio. A essa
configurao da Poltica de Grupo dado o nome de Cliente dos Servios de Certificado - Registro
Automtico.
Um temporizador interno dispara o registro automtico a cada oito horas depois da ltima ativao do
registro automtico. O modelo de certificado pode especificar a interao de usurios de cada solicitao.
Para tal atualizao, uma janela pop-up aparece aproximadamente 60 segundos depois que o usurio
fizer logon.
Muitos certificados podem ser distribudos sem o cliente sequer perceber que o registro est sendo
executado. Eles incluem a maioria dos tipos de certificados que so emitidos para computadores
e servios, alm de muitos dos certificados emitidos para usurios.
Para registrar os clientes automaticamente em certificados de um ambiente de domnio, voc deve:

Ser membro dos Administradores do domnio ou da empresa (ou equivalente), esse o mnimo
exigido para concluir esse procedimento.

Configurar um modelo de certificado com permisses de Registro Automtico.

Configurar uma poltica de registro automtico para o domnio.

O que mobilidade de credenciais?


A mobilidade de credenciais permite que as organizaes armazenem certificados e chaves privadas
no AD DS, separadamente do estado do aplicativo ou das informaes de configurao. A mobilidade
de credenciais usa logons existentes e mecanismos de registro automtico baixar certificados e chaves
para um computador local sempre que um usurio fizer logon e, se desejado, remov-los quando o
usurio fizer logoff. Alm disso, a integridade dessas credenciais mantida sob quaisquer condies,
como quando os certificados so atualizados, ou quando os usurios fazem logon em mais de um
computador ao mesmo tempo. Isso evita o cenrio em que um usurio faz o registro automtico
de um certificado em cada novo computador em que faz logon.
A mobilidade de credenciais disparada sempre que uma chave privada ou um certificado no repositrio
local do usurio for alterado, quando o usurio bloquear ou desbloquear o computador e quando
a Poltica de Grupo for alterada.
Todas as comunicaes relacionadas aos certificados entre os componentes do computador local e entre
o computador local e o AD DS so assinadas e criptografadas. A mobilidade de credenciais tem suporte
no Windows 7 e nos sistemas operacionais mais recentes do Windows.

O que o agente de registro restrito?


Em verses anteriores da AC do Windows Server,
como o Windows Server 2003, no possvel
permitir que um agente de registro registrem
apenas um certo grupo de usurios. Como
resultado, todo usurio com um certificado
de agente de registro pode se registrar em
nome qualquer usurio em uma organizao.

6-32 Implementao dos Servios de Certificados do Active Directory

O agente de registro restrito uma funcionalidade que foi apresentada no sistema operacional do
Windows Server 2008 Enterprise. Essa funcionalidade permite que voc limite as permisses para usurios
designados como agentes de registro se registrem em certificados de carto inteligente em nome de
outros usurios.
Normalmente, um ou mais indivduos autorizados dentro de uma organizao so designados como
agentes de registro. O agente de registro precisa receber um certificado de agente de registro que
permite que ele se registre em certificados de carto inteligente em nome de usurios. Os agentes de
registro normalmente so membros de segurana corporativa, segurana de TI ou equipes de suporte
tcnico, j que a eles j foi confiada a proteo de recursos valiosos. Em algumas organizaes, como os
bancos que tm muitas ramificaes, os funcionrios do suporte tcnico e de segurana podem no estar
bem localizados para executar essa tarefa. Nesse caso, necessrio designar um gerente de filial ou outro
funcionrio de confiana para agir como um agente de registro para habilitar as credenciais de carto
inteligente a serem emitidas de vrios locais.
Em uma AC do Windows Server 2012, os recursos do agente de registro restrito permitem que um agente
de registro seja usado para um ou mais modelos de certificados. Para cada modelo de certificado, voc
pode escolher em nome dos usurios ou grupos de segurana que o agente d registro pode registrar.
Voc no pode restringir um agente de registro com base em uma determinada OU (unidade
organizacional) ou continer do Active Directory, em vez disso, voc deve usar grupos de segurana.
Observao: O uso dos agentes de registros afetar o desempenho da AC. Para otimizar
o desempenho, voc deve minimizar o nmero de contas que so listadas como agentes de
registro. Voc minimiza o nmero de contas na lista de permisses do agente de registro.
Como prtica recomendada, use contas de grupo nas duas listas em vez de contas de usurio
individuais.

Demonstrao: Configurao de um agente de registro restrito


Nesta demonstrao, voc ver como configurar o agente de registro restrito.

Etapas da demonstrao
Configurar o Agente de Registro Restrito
1.

Em LON-SVR1, abra o console Modelos de Certificados.

2.

Configure Allie Bellew com permisses para se registrar em um certificado de agente de registro.

3.

Publique o modelo de certificado do agente de registro.

4.

Entre em LON-CL1 como Adatum\Allie com a senha Pa$$w0rd.

5.

Abra um MMC (Console de Gerenciamento Microsoft) e adicione o snap-in de certificados.

6.

Solicite o certificado do agente restrito.

7.

Alterne para LON-SVR1 e abra as propriedades de AdatumRootCA.

8.

Configure o agente de registro restrito de modo que Allie somente possa emitir certificados baseados
no modelo do Usurio e somente para o grupo de segurana de Marketing.

Configurao de servios avanados do Windows Server 2012

6-33

O que servio de registro de dispositivo de rede?


O NDES (Servio de Registro de Dispositivo de
Rede) a implementao pela Microsoft do SCEP
(Simple Certificate Enrollment Protocol). O SCEP
um protocolo de comunicao torna possvel
o registro de software que est sendo executado
em dispositivos de rede como roteadores e
comutadores (e que no pode ser autenticado
de outro modo na rede) em certificados X.509
de uma AC.
Voc pode usar o NDES como um ISAPI
(Internet Server API) no IIS para executar
as seguintes funes:

Criar e fornecer senhas de registro nico para administradores.

Recuperar solicitaes em espera da AC.

Coletar e processar as solicitaes de registro do SCEP do software executado em dispositivos


de rede.

Esse recurso se aplica a organizaes que tm PKIs com um ou mais ACs baseadas no
Windows Server 2012 e que desejam aprimorar a segurana dos seus dispositivos de rede. A segurana
de porta, baseada em 802.1x, requer que os certificados sejam instalados nos comutadores e nos pontos
de acesso. SSH (Secure Shell), em vez de Telnet, requer um certificado no roteador, no comutador ou
no ponto de acesso. NDES o servio que permite que os administradores instalem certificados em
dispositivos que usam SCEP.
Adicionar o suporte do NDES pode aprimorar a flexibilidade e a escalabilidade da PKI de uma
organizao. Portanto, esse recurso deve interessar aos arquitetos, planejadores e administradores de PKI.
Antes de instalar o NDES, voc deve decidir:

Se voc vai configurar uma conta de usurio dedicada para o servio ou se vai usar uma conta
do servio de rede.

O nome da autoridade de registro do NDES e que pas/regio usar. Essa informao est includa
em qualquer certificado SCEP emitido.

O CSP que deve ser usado para a chave de assinatura que usada para criptografar a comunicao
entre a AC e a autoridade de registro.

O CSP que deve ser usado para a chave de criptografia que usada para criptografar a comunicao
entre a autoridade de registro e o dispositivo de rede.

O comprimento de cada uma dessas chaves.

6-34 Implementao dos Servios de Certificados do Active Directory

Alm disso, voc precisa criar e configurar os modelos de certificados para os certificados que so usados
junto com o NDES.
Instalar o NDES em um computador cria uma nova autoridade de registro e exclui quaisquer certificados
de autoridade de registro preexistentes no computador. Portanto, se voc planeja instalar o NDES em
um computador onde outra autoridade de registro j foi configurada, qualquer solicitao de certificado
pendente deve ser processada e qualquer certificado no solicitado deve ser solicitado antes de instalar
o NDES.

Como funciona a revogao de certificado?


A revogao o processo no qual voc
desabilita a validade de um ou mais certificados.
Ao iniciar o processo de revogao, voc publica
uma impresso digital de certificado no CRL
correspondente.
Uma viso geral do ciclo de vida de revogao
do certificado esboada a seguir:

Um certificado revogado do snap-in do


MMC da AC. Durante a revogao, um cdigo
de motivo, a data e a hora so especificados.
Isso opcional, mas recomendado.

O CRL publicado usando o snap-in do MMC da AC (ou a lista de certificados revogados agendada
publicada automaticamente baseada no valor configurado). Os CRLs podem ser publicado no AD DS,
em algum local de pasta compartilhada ou em um site.

Quando os computadores clientes do Windows recebem um certificado, eles usam um processo para
verificar o status de revogao consultando a AC emissora. Esse processo determina se o certificado
revogado, e apresenta, ento, as informaes ao aplicativo que solicita a verificao. O computador
cliente do Windows usa um dos locais da CRL especificados no certificado para a verificar sua
validade.

Os sistemas operacionais do Windows incluem um CryptoAPI, que responsvel pela revogao de


certificados e pelos processos de verificao de status. O CryptoAPI utiliza as seguintes fases no processo
de verificao do certificado:

Descoberta de certificado. A descoberta de certificado coleta certificados de AC, informaes AIA


em certificados emitidos e detalhes sobre o processo de registro do certificado.

Validao de caminho. A validao de caminho o processo de verificao de certificado por meio


da cadeia da AC (ou caminho) at que o certificado da AC raiz seja alcanado.

Verificao de revogao. Cada certificado na cadeia de certificados verificado para assegurar


que nenhum dos certificados seja revogado.

Recuperao de rede e cache. A recuperao de Rede executada usando o OCSP. O CryptoAPI


responsvel pela verificao do cache local para obter informaes de revogao, e caso no haja
correspondncia, ele faz uma chamada usando o OCSP, que baseado na URL fornecida pelo
certificado emitido.

Configurao de servios avanados do Windows Server 2012

6-35

Consideraes para a publicao de AIAs e CDPs


Quando voc estiver gerenciando e emitindo
certificados, importante que voc configure
corretamente as extenses de certificado usadas
para verificar o certificado da AC e o certificado
que est sendo usado pelo usurio. Essas
extenses (AIA e CDP) so parte de cada
certificado. Eles devem apontar para locais
adequados ou a PKI pode no funcionar
corretamente.

O que AIA?
Endereos de AIA so as URLs nos certificados
que uma AC emite. Esses endereos dizem ao
verificador de um certificado onde recuperar o certificado da AC. As URLs de acesso AIA podem ser
o HTTP, protocolo FTP, protocolo LDAP ou endereos de ARQUIVO.

O que CDP?
CDP uma extenso de certificado que indica onde a lista de certificados revogados de uma AC pode
ser recuperada. Pode no conter nenhum, um ou muitos HTTP, ARQUIVO ou URLs LDAP.

Publicao de AIA e CDP


Se voc usar apenas uma AC online, esses valores sero configurados localmente na AC por padro. No
entanto, se voc deseja implantar uma AC raiz offline ou se voc quiser publicar AIA e CDP em um local
voltado para a internet, voc deve configurar novamente esse valores de modo que eles se apliquem a
todos os certificados emitidos pela AC raiz. As extenses AIA e CDP definem onde os aplicativos clientes
podem localizar as informaes AIA e CDP da AC raiz. A formao e publicao de URLs de extenso AIA
e CDP , geralmente, a mesma para ACs raiz e subordinadas. Voc pode publicar o certificado da AC raiz
e a CRL nos seguintes locais:

AD DS

Servidores Web

Servidores de FTP

Servidores de arquivos

6-36 Implementao dos Servios de Certificados do Active Directory

Pontos de publicao
Para assegurar a acessibilidade a todos os computadores na floresta, publique o certificado da AC raiz
offline e a CRL da AC raiz offline do AD DS usando o comando Certutil. Isso coloca o certificado da AC
raiz e a CRL no contexto de nomenclatura de configurao, que o Active Directory reproduz em todos
os controladores de domnio na floresta.
Para computadores que no so os membros de um domnio do AD DS, coloque o certificado de AC
e a CRL nos servidores Web usando o protocolo HTTP. Localize os servidores Web na rede interna, e na
rede externa se os computadores cliente externos (ou clientes internos de redes externas) exigirem acesso.
Isso muito importante se voc estiver usando certificados emitidos internamente fora de sua empresa.
Voc tambm pode publicar certificados e CRLs em ftp:// e FILE:// URLs, mas recomendado que voc
use apenas URLs LDAP e HTTP porque elas so formatos de URL com suporte mais amplo para finalidades
de interoperabilidade. A ordem na qual voc lista as extenses de CDP e AIA importante porque o
mecanismo do encadeamento de certificado pesquisa as URLs em sequncia. Se os seus certificados
forem usados mais usados internamente, coloque primeiro a URL LDAP na lista.

O que um respondente online?


Usando o OCSP, um respondente online fornece
aos clientes um modo eficiente de determinar
o status de revogao de um certificado. OCSP
envia solicitaes de status de certificado
usando o HTTP.
Os clientes acessam as CRLs para determinar
o status de revogao de um certificado.
As CRLs podem ser grandes e os clientes podem
utilizar uma quantidade grande de tempo para
pesquisar essas CRLs. Um respondente online
pode pesquisar essas CRLs dinamicamente para
os clientes e responder somente ao certificado
solicitado.
Voc pode usar um nico respondente online para determinar as informaes do status de revogao
para os certificados emitidos por uma nica AC ou por vrias ACs. No entanto, voc pode usar mais
que um respondente online para distribuir informaes de revogao de AC.
Voc pode instalar um respondente online em qualquer computador que execute
o Windows Server 2008 Enterprise ou o Windows Server 2012. Voc deve instalar um respondente
online e uma AC em computadores diferentes.
Os sistemas operacionais a seguir podem usar o respondente online para a validao do status
de certificado:

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Vista

Windows 7

Windows 8

Configurao de servios avanados do Windows Server 2012

6-37

Para a escalabilidade e a alta disponibilidade, voc pode implantar o respondente online em uma matriz
com carga equilibrada que usa NLB (Balanceamento de Carga de Rede) que processe solicitaes de
status de certificado. Voc pode monitorar e gerenciar cada membro da matriz independentemente.
Para configurar o respondente online, voc deve usar o console de gerenciamento do respondente
online.
Voc deve configurar as ACs para incluir a URL do respondente online na extenso de AIA dos certificados
emitidos. O cliente de OCSP usa essa URL para validar o status de certificado. Voc tambm tem que
emitir o modelo de certificado da Assinatura de Resposta OCSP de modo que o respondente online
tambm possa registrar nesse certificado.

Como instalar e configurar o respondente online


Voc pode instalar os respondentes online em computadores que esto executando o
Windows Server 2008 R2 ou o Windows Server 2012. Voc deve instalar os respondentes online
depois das ACs, mas antes de emitir qualquer certificado de cliente. Os dados de revogao de
certificado so derivados de uma CRL publicada. As CRL publicadas podem vir de uma AC em um
computador que est executando o Windows Server 2008 ou mais recente ou o Windows Server 2003,
ou de uma AC no Microsoft.
Antes de configurar uma AC para dar suporte ao servio de respondente online servio, o seguinte
deve ser feito:

O IIS deve ser instalado no computador durante a instalao do respondente online. Quando voc
instalar um respondente online, a configurao correta do IIS do respondente online instalada
automaticamente.

Um modelo certificado de autenticao da Assinatura de Resposta OCSP deve ser configurado


na AC e o registro automtico usado para emitir um certificado da Assinatura de Resposta OCSP
para o computador no qual o respondente online ser instalado.

A URL do respondente online deve ser includa na extenso de AIA dos certificados emitidos pela
AC. Essa URL usada pelo cliente do respondente online para validar o status do certificado.

Depois que um respondente online tiver sido instalado, voc precisa criar uma configurao
de revogao para cada AC e certificado de AC que servida por um respondente online. Uma
configurao de revogao inclui todas as configuraes que devem responder a solicitaes
de status relativas a certificados que foram emitidos usando uma AC chave especfica. Incluem:

Certificado de AC. Esse certificado pode ser localizado em um controlador de domnio,


no repositrio de certificados local, ou pode ser importado de um arquivo.

Certificado de autenticao do respondente online. Esse certificado pode ser selecionado


automaticamente para voc, selecionado manualmente (que envolve uma etapa de importao
separada depois que voc adicionar a configurao de revogao) ou voc pode usar o certificado
de AC selecionado.

Provedor de revogao. O provedor de revogao fornecer os dados de revogao usados por


essa configurao. Essas informaes so inseridas como uma ou mais URLs onde a base vlida
e CRLs deltas podem ser obtidos.

6-38 Implementao dos Servios de Certificados do Active Directory

Demonstrao: Configurao de um respondente online


Nesta demonstrao, voc pode ver como configurar um respondente online.

Etapas da demonstrao
Configurar um respondente online
1.

Em LON-SVR1, use o Gerenciador do Servidor para adicionar um servio de funo do respondente


online funo do AD CS existente.

2.

Configure uma nova distribuio local de AIA em AdatumRootCA como http://lon-svr1/ocsp.

3.

Em AdatumRootCA, publique o modelo de certificado de autenticao da Resposta OCSP e permita


que os usurios autenticados se registrem.

4.

Abra o console de gerenciamento do respondente online.

5.

Adicione a configurao de revogao da AdatumRootCA.

6.

Registre-se em um certificado de autenticao da Resposta OCSP.

7.

Verifique se o status de configurao de revogao aparece como em execuo.

Configurao de servios avanados do Windows Server 2012

6-39

Lio 5

Gerenciamento da recuperao de certificados


Durante o ciclo de vida do certificado, a recuperao do certificado ou da chave uma das tarefas de
gerenciamento mais importantes. Se voc perder as chaves pblicas e privadas, usar um arquivamento
de chave e um agente de recuperao para a recuperao de dados. Voc tambm pode usar o
arquivamento de chave automtico ou manual e mtodos de recuperao de chave para garantir
o acesso aos dados em caso de perda das chaves. Nesta lio, voc aprender como gerenciar
o arquivamento de chave e recuperao no AD CS do Windows Server 2012.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever o processo de arquivamento de chave e recuperao.

Configurar o arquivamento de chave automtico.

Configurar a AC do arquivamento de chave.

Explicar a recuperao de chave.

Recuperar uma chave privada perdida.

Viso geral de arquivamento de chave e recuperao


Se voc perder as chaves pblica e privada,
no poder acessar qualquer dado que estiver
criptografado usando a chave pblica do
certificado. Esses dados podem incluir EFS e
extenses S/MIME. Portanto, o arquivamento
e a recuperao de chaves pblicas e privadas
importante.

Condies para perder as chaves


Voc pode perder os pares de chaves devido
s seguintes condies:

O perfil de usurio excludo ou danificado.


Um CSP faz criptografia de uma chave privada e armazena a chave privada criptografada no sistema
de arquivos local e no registro da pasta perfil do usurio. A excluso ou o dano do status do perfil
resultam na perda do material da chave privada.

O sistema operacional instalado novamente. Quando voc reinstalar o sistema operacional,


as instalaes anteriores dos perfis do usurio so perdidas, inclusive o material da chave privada.

O disco est danificado. Se o disco rgido for danificado e o perfil do usurio no estiver disponvel,
o material da chave privada perdido automaticamente.

O computador roubado. Se o computador de um usurio for roubado, o perfil do usurio


com o material da chave privada no estar disponvel.

6-40 Implementao dos Servios de Certificados do Active Directory

Arquivamento de chave e agentes de recuperao


Voc usa o arquivamento de chave e Chave Agentes de recuperao (KRA) para recuperao de dados.
Voc pode garantir que os administradores da AC possam recuperar as chave privadas arquivando-as.
So designados usurios aos KRAs que podem recuperar o certificado original, a chave privada e a
chave pblica que foram usados para criptografar os dados do banco de dados de AC. Um modelo
de certificado especfico aplicado a um KRA. Quando voc habilitar o arquivamento de chave em um
modelo de certificado verso 2, a AC criptografa e armazena essa chave privada em seu banco de dados.
Em situaes onde a AC armazenou a chave privada da entidade no banco de dados de AC, voc pode
usar a recuperao de chave para recuperar uma chave corrompida ou perdida.
Durante o processo de recuperao da chave, o gerenciador do certificado recupera o arquivo
criptografado que contm o certificado e a chave privada do banco de dados de AC. Em seguida,
um KRA descriptografa a chave privada do arquivo criptografado e devolve o certificado e a chave
privada para o usurio.

Segurana do arquivamento de chave


Quando voc tiver configurado uma AC para emitir um certificado KRA, qualquer usurio com permisso
Leitura e Registro no modelo de certificado KRA pode se registrar e se tornar um KRA. Como resultado,
os administradores do domnio e os administradores corporativos recebem permisso por padro.
No entanto, voc deve garantir o seguinte:

Somente os usurios confiveis tm permisso para se registrar nesse certificado.

A chave de recuperao de KRA armazenada de uma maneira segura.

O servidor onde as chaves so arquivadas est em um local separado e fisicamente seguro.

Noes bsicas de arquivamento de chave e recuperao


A recuperao de chave implica que a parte privada de um par de chaves pblico-privado pode ser
arquivada e recuperada. A recuperao da chave privada no recupera quaisquer dados ou mensagens.
Ela permite que um usurio recupere chaves perdidas ou danificadas ou que um administrador assuma
a funo de usurio para acessar os dados ou finalidades de recuperao de dados. Em muitos aplicativos,
a recuperao de dados no pode acontecer sem a execuo da recuperao da chave.
O procedimento de recuperao da chave o seguinte:
1.

O usurio solicita um certificado de uma AC e fornece uma cpia da chave privada como parte da
solicitao. A AC que est processando a solicitao arquiva a chave privada criptografada no banco
de dados de AC e emite um certificado para o usurio solicitante.

2.

O certificado emitido pode ser usado por um aplicativo como EFS para criptografar arquivos
confidenciais.

3.

Se em algum momento a chave privada for perdida ou danificada, o usurio pode entrar em contato
com o Gerenciador de Certificados da empresa para recuperar a chave privada. O Gerenciador de
Certificados, com a ajuda do KRA, recupera a chave privada, armazena-a em um formato de arquivo
protegido e a manda de volta para o usurio.

4.

Depois que o usurio armazenar a chave privada recuperada no repositrio de chaves local do
usurio, ela pode ser usada de novo por um aplicativo como o EFS para descriptografar arquivos
previamente criptografados ou criptografar novos arquivos.

Configurao de servios avanados do Windows Server 2012

6-41

Configurao do arquivamento de chave automtico


Antes de poder usar o arquivamento de chave,
voc deve executar vrias etapas de configurao.
O recurso de arquivamento de chave no
habilitado por padro e voc deve configurar
a AC e os modelos de certificados para o
arquivamento de chave e a recuperao de chave.
As etapas a seguir descrevem o processo
de arquivamento de chave automtico:
1.

Configurar o modelo de certificado KRA.


Somente os administradores de empresa
ou domnio tm permisso para solicitar
um certificado KRA. Se voc desejar registrar
algum outro usurio com um certificado KRA, voc deve especific-lo no modelo de DACL.

2.

Configurar os Gerenciadores de Certificado.

3.

a.

A AC impe uma pessoa para ser o Gerenciador de Certificados, se definido. O Gerenciador


de Certificados normalmente tem uma chave privada para certificados KRA vlidos. Por padro,
o administrador de AC um Gerenciador de Certificados para todos os usurios, com exceo
de casos com outra definio explcita. No entanto, como uma prtica recomendada, voc deve
separar essas duas funes, se possvel.

b.

Um responsvel pela AC definido como um Gerenciador de Certificados. Esse usurio tem


a permisso de segurana para emitir e gerenciar certificados. As permisses de segurana
so configuradas em uma AC na Autoridade de Certificao do snap-in do MMC na caixa
de dilogo Propriedades de AC da guia Segurana.

c.

Um KRA no necessariamente um responsvel pela AC ou um Gerenciador de Certificados.


Essas funes podem ser segmentadas como funes separadas. Um KRA uma pessoa que
tem uma chave privada para um certificado KRA vlido.

Habilitar o KRA.
a.

Faa logon como Administrador do servidor, ou como Administrador de AC caso a separao


de funo esteja habilitada.

b.

No console de AC, clique com o boto direito no nome da AC e clique em Propriedades.


Para habilitar o arquivamento de chave, na guia Agentes de Recuperao, clique em
Arquivar a chave.

c.

Por padro, a AC usa um KRA. No entanto, voc deve selecionar primeiro o certificado KRA
para que a AC comece o arquivamento clicando em Adicionar.

6-42 Implementao dos Servios de Certificados do Active Directory

4.

d.

O sistema localiza o certificado KRA vlido e exibe os certificados KRA disponveis. Esses
geralmente so publicados no AD DS por uma AC corporativa durante o registro. Os certificados
KRA so armazenados no continer de KRA na ramificao dos Servios de chave pblica da
partio de configurao no AD DS. Como a AC emite vrios certificados KRA, cada um desses
certificados ser adicionado ao atributo de usurio de mltiplos valores do objeto CA.

e.

Selecione um certificado e clique em OK. Verifique se voc selecionou o certificado pretendido.

f.

Depois que voc tiver adicionado um ou mais certificados KRA, clique em OK. Os certificados
KRA so processados somente no incio do servio.

Configurar modelos de usurios.


a.

No MMC dos Modelos de Certificados, clique com o boto direito do mouse no modelo
de arquivamento da chave e clique em Propriedades.

b.

Para impor o arquivamento de chave da AC, na caixa de dilogo Propriedades, na


guia Tratamento de Solicitao, marque a caixa de seleo Arquivar chave privada
de criptografia de requerente. No Windows Server 2008 ou em ACs mais recentes,
selecione a opo Usar algoritmo simtrico avanado para enviar a chave AC.

Demonstrao: Configurao da AC do arquivamento de chave


Nesta demonstrao, voc ver como configurar uma AC para arquivamento de chave.

Etapas da demonstrao
Configurar o arquivamento de chave automtico
1.

Configure adatumRootCA para emitir certificados de agentes de recuperao de chave sem


aprovao.

2.

Registre o administrador do certificado do agente de recuperao de chave.

3.

Configure adatumRootCA para usar o certificado registrado na etapa 2 como agente de recuperao
de chave.

4.

Configure o modelo de certificado Trocar usurio Teste 1 modelo de certificado para permitir
arquivamento de chave.

5.

Configure adatumRootCA para permitir o arquivamento de chave.

Configurao de servios avanados do Windows Server 2012

6-43

Recuperao de uma chave perdida


A recuperao de chave consiste em vrias
etapas e voc deve seguir o procedimento
estritamente para recuperar as chaves arquivadas.
O procedimento de recuperao de chave
o seguinte:
1.

Localize os candidatos de recuperao.


Voc necessitar de duas informaes
para executar a recuperao de chave.
Primeiro, o Gerenciador de Certificados
ou o administrador de AC localiza a entrada
do certificado correta no banco de dados
de AC. Em seguida, o Gerenciador de
Certificados ou o administrador de AC obtm o nmero de srie da entrada do certificado correta
e o certificado KRA necessrio para a recuperao da chave.

2.

Recupere o blob PKCS #7 do banco de dados. Essa a primeira metade da etapa de recuperao de
chave. Um Gerenciador de Certificados ou um administrador de AC recupera o blob correto do banco
de dados de AC. O certificado e a chave privada criptografada a serem recuperados esto presentes
no blob PKCS #7. A chave privada criptografada junto com a chave pblica de um ou mais KRAs.

3.

Recupere o material da chave e salve no PKCS #12 (.pfx). Essa a segunda metade da etapa de
recuperao de chave. O proprietrio de um das chave privadas de KRA descriptografa a chave
privada a ser recuperada. O proprietrio tambm gera um arquivo .pfx protegido por senha que
contm o certificado e a chave privada.

Importar as chaves recuperadas. O arquivo .pfx protegido por senha entregue ao usurio final. Esse
usurio importa o arquivo .pfx para o repositrio de certificados do usurio local. Como alternativa,
o KRA ou um administrador podem executar essa parte do procedimento em nome do usurio.

Demonstrao: Recuperao de uma chave privada perdida (opcional)


Nesta demonstrao, voc ver como recuperar uma chave privada perdida.

Etapas da demonstrao
Recuperar uma chave privada perdida
1.

Registre o administrador do certificado Trocar usurio Teste1.

2.

Exclua o certificado do repositrio pessoal do administrador para simular a perda da chave.

3.

Em LON-SVR1, no console de AC, recupere o nmero de srie do certificado perdido.


Use o comando Certutil -getkey <nmerodesrie> outputblob para gerar o arquivo blob.
Use o comando Certutil -recoverkey outputblob recover.pfx para recuperar a chave
privada.

4.

Importe a chave privada de volta para o repositrio pessoal do administrador.

6-44 Implementao dos Servios de Certificados do Active Directory

Laboratrio B: Implantao e gerenciamento


de certificados
Cenrio
Como a A. Datum Corporation expandiu, os seus requisitos de segurana tambm aumentaram.
O departamento de segurana est interessado particularmente em habilitar o acesso seguro a sites
crticos, e a fornecer segurana adicional para recursos como EFS, cartes inteligentes e o recurso
DirectAccess do Windows 7 e do Windows 8. Para resolver esses e outros requisitos de segurana,
a A. Datum decidiu implementar uma PKI usando a funo AD CS no Windows Server 2012.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar
a implantao do AD CS. Voc vai implantar a hierarquia de AC, desenvolver os procedimentos
e processos de gerenciamento dos modelos de certificados, implantar e revogar certificados.

Objetivos

Configurar os modelos de certificados.

Configurar o registro do certificado.

Configurar a revogao do certificado.

Configurar e executar o arquivamento e recuperao de chave privada.

Configurao do laboratrio
Tempo previsto: 75 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Todas as mquinas virtuais
necessrias para esse laboratrio devem estar funcionando desde o laboratrio anterior.

Exerccio 1: Configurao de modelos de certificados


Cenrio
Depois de implantar a infraestrutura de AC, a prxima etapa implantar os modelos de certificados que
so necessrios na organizao. Primeiro, A. Datum deseja implementar um novo certificado de servidor
Web e implementar certificados de carto inteligente para usurios. Eles tambm desejam implementar
novos certificados no servidor Web de LON-SVR2.
As principais tarefas deste exerccio so:
1.

Criar um novo modelo baseado no modelo do servidor Web.

2.

Criao de um novo modelo para usurios que inclui o logon do carto inteligente.

3.

Configure os modelos para que eles possam ser emitidos.

4.

Atualize o certificado de servidor Web no servidor Web LON-SVR2.

Configurao de servios avanados do Windows Server 2012

6-45

Tarefa 1: Criar um novo modelo baseado no modelo do servidor Web


1.

Em LON-SVR1, no console Autoridade de Certificao, abra o console Modelos de Certificado.

2.

Duplique o modelo do Servidor Web.

3.

Crie um novo modelo e nomeie-o Servidor Web Adatum.

4.

Configure a validade para 3 anos.

5.

Configure a chave privada como exportvel.

Tarefa 2: Criao de um novo modelo para usurios que inclui o logon do carto
inteligente
1.

No console Modelos de Certificados, duplique o modelo de certificado Usurio.

2.

Nomeie o novo modelo Usurio de Carto Inteligente Adatum.

3.

Na guia Nome da entidade, desmarque as caixas de seleo Incluir nome de email no nome
da entidade e Nome de email.

4.

Adicione o Logon do carto inteligente nas Polticas de aplicativo do novo modelo de certificado.

5.

Configure esse novo modelo para substituir o modelo Usurio.

6.

Permita que os usurios autenticados faam Leitura, Registro e Registro Automtico


desse certificado.

7.

Feche o console Modelos de Certificados.

Tarefa 3: Configure os modelos para que eles possam ser emitidos

Configure LON-SVR1 para emitir certificados com base nos modelos Usurio de Carto Inteligente
Adatum e Servidor Web Adatum.

Tarefa 4: Atualize o certificado de servidor Web no servidor Web LON-SVR2


1.

Entre em LON-SVR2 como Adatum\Administrador com a senha Pa$$w0rd.

2.

Atualize a Poltica de Grupo e reinicie o servidor, se necessrio.

3.

No Gerenciador do Servidor, abra o Gerenciador do IIS (Servios de informaes da internet).

4.

Registre-se em um certificado de domnio usando os seguintes parmetros:

5.

Nome comum: lon-svr2.adatum.com

Organizao: Adatum

Unidade Organizacional: IT

Cidade/localidade: Seattle

Estado/provncia: WA

Pas/regio: US

Nome amigvel: lon-svr2

Crie a associao HTTP para o site padro e associe-o com o novo certificado.

Resultados: Depois de concluir esse exerccio, voc ter criado e publicado novos modelos
de certificados.

6-46 Implementao dos Servios de Certificados do Active Directory

Exerccio 2: Configurao de registro de certificado


Cenrio
A etapa seguinte na implementao da PKI na A. Datum a configurao do registro de certificado.
A. Datum deseja habilitar opes diferentes para distribuir os certificados. Os usurios devem poder
se registrar automaticamente e os usurios de carto inteligente devem obter os cartes inteligentes
dos agentes de registro. A Adatum delegou os direitos de agente de registro ao usurio Allie Bellew
do grupo do departamento de Marketing.
As principais tarefas deste exerccio so:
1.

Configurar o registro automtico para usurios.

2.

Verificao do registro automtico.

3.

Configure o agente de registro dos certificados de carto inteligente.

Tarefa 1: Configurar o registro automtico para usurios


1.

Em LON-DC1, abra Gerenciamento de Poltica de Grupo.

2.

Edite a Poltica de Domnio Padro.

3.

Navegue at Configurao do Usurio, expanda Polticas, expanda Configuraes do Windows,


expanda Configuraes de Segurana e clique para destacar Polticas da chave privada.

4.

Habilite a opo Cliente dos Servios de Certificado - Registro Automtico e habilite Renovar
certificados expirados, atualizar certificados pendentes e remover certificados revogados
e Atualizar certificados que usam modelos de certificados.

5.

Habilite a Poltica Cliente dos Servios de Certificado - Registro Automtico.

6.

Feche o Editor de gerenciamento da poltica de grupo e GPMC.

Tarefa 2: Verificao do registro automtico


1.

Em LON-SVR1, abra o Windows PowerShell e use gpupdate /force para atualizar a Poltica
de Grupo.

2.

Abra um console mmc.exe e adicione o snap-in de certificados focalizado na conta de usurio.

3.

Verifique se foi emitido para voc um certificado baseado no modelo Usurio de Carto
Inteligente Adatum.

Tarefa 3: Configure o agente de registro dos certificados de carto inteligente


1.

Em LON-SVR1, no console Autoridade de Certificao, abra o console Modelos de Certificado.

2.

Permita que Allie Bellew se registre em um certificado de agente de registro.

3.

Publique o modelo de certificado do agente de registro.

4.

Entre em LON-CL1 como Allie e se registre no certificado de agente de registro.

5.

Em LON-SVR1, abras as propriedades de Adatum-IssuingCA e configure o Agente de Registro


Restrito de modo que Allie s possa emitir certificados baseados no Usurio de Carto
Inteligente Adatum para o grupo de segurana Marketing.

Resultados: Depois de concluir este exerccio, voc ter configurado e verificado o registro automtico
de usurios e configurado um agente de registro para cartes inteligentes.

Configurao de servios avanados do Windows Server 2012

6-47

Exerccio 3: Configurao de revogao de certificado


Cenrio
Como parte da configurao da infraestrutura de certificado, A. Datum deseja configurar os componentes
de revogao em ACs recentemente estabelecidas. Voc vai configurar os componentes da CRL
e do respondente online.
As principais tarefas deste exerccio so:
1.

Configure a distribuio de CRL (lista de revogao de certificados) .

2.

Instale e configure um respondente online.

Tarefa 1: Configure a distribuio de CRL (lista de revogao de certificados)


1.

Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse


em Certificados Revogados e clique em Propriedades.

2.

Configure o intervalo de publicao da CRL para 1 dia e configure o intervalo de publicao


da CRL delta para 1 hora.

3.

Examine os locais de CDP em Adatum-IssuingCA.

Tarefa 2: Instale e configure um respondente online


1.

Em LON-SVR1, use o Gerenciador do Servidor para adicionar um servio de funo do


respondente online funo do AD CS existente.

2.

Quando a instalao for concluda com sucesso, clique em Configurar os Servios de Certificados
do Active Directory no servidor de destino.

3.

Configurar o respondente online.

4.

Em LON-SVR1, abra o console Autoridade de Certificao.

5.

Configure a nova distribuio local de AIA em Adatum-IssuingCA para ser http://lon-svr1/ocsp.

6.

Em Adatum-IssuingCA, publique o modelo do certificado de autenticao da Resposta OCSP


e permita que os usurios Autenticados se registrem.

7.

Abra o console de gerenciamento do respondente online.

8.

Adicione a configurao de revogao de Adatum-IssuingCA.

9.

Registre-se em um certificado de autenticao da Resposta OCSP.

10. Verifique se o status de configurao de revogao Processando.

Resultados: Depois de concluir esse exerccio, voc ter configurado a revogao de certificado.

6-48 Implementao dos Servios de Certificados do Active Directory

Exerccio 4: Configurao da recuperao de chave


Cenrio
Como parte do estabelecimento de uma PKI, recomendvel configurar e testar procedimentos
de recuperao de chaves privadas. Voc deseja atribuir um certificado KRA para um administrador
e configurar a AC e os modelos de certificados especficos para permitir o arquivamento de chave.
Alm disso, recomendvel testar um procedimento de recuperao de chave.
As principais tarefas deste exerccio so:
1.

Configurar a AC para emitir certificados de KRA (agente de recuperao de chave) .

2.

Adquirir o certificado KRA.

3.

Configurar a AC para permitir a recuperao de chave.

4.

Configurar um modelo personalizado para o arquivamento da chave.

5.

Verificar a funcionalidade do arquivamento de chave.

Tarefa 1: Configurar a AC para emitir certificados de KRA (agente de recuperao


de chave)
1.

Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse na pasta
Modelos de Certificados e clique em Gerenciar.

2.

No console Certificados Modelos, abra a caixa de dilogo Propriedades do certificado do Agente


de Recuperao de Chave.

3.

Na guia Requisitos de Emisso, desmarque a caixa de seleo Aprovao do gerenciador


de certificados de autoridade de certificao.

4.

Na guia Segurana, observe que os Administradores de Domnio e Corporativos so os nicos


grupos que tem a permisso Registro.

5.

Clique com o boto direito do mouse do mouse na pasta Modelos de Certificados e habilite
o modelo Agente de recuperao de chave.

Tarefa 2: Adquirir o certificado KRA


1.

Crie uma janela de console de MMC que inclui o snap-in dos certificados do usurio atual carregado.

2.

Use o Assistente de registro de certificado para solicitar um novo certificado e para registrar
o certificado KRA.

3.

Atualize a janela do console e exiba o KRA no repositrio pessoal.

Tarefa 3: Configurar a AC para permitir a recuperao de chave


1.

Em LON-SVR1, no console Autoridade de Certificao, abra a caixa de dilogo Propriedades


de Adatum-IssuingCA.

2.

Na guia Agentes de Recuperao, clique em Arquivar a chave e adicione o certificado usando


a caixa de dilogo Seleo de Agente de Recuperao de Chave.

3.

Reinicie os servios de certificado quando solicitado.

Configurao de servios avanados do Windows Server 2012

6-49

Tarefa 4: Configurar um modelo personalizado para o arquivamento da chave


1.

Em LON-SVR1, abra o console Modelos de Certificados.

2.

Duplique o modelo Usurio e nomeie-o Usurio do Arquivo.

3.

Na guia Tratamento de Solicitao, defina a opo de Arquivar a chave privada de criptografia


da entidade. Usando a opo para arquivar chave, o KRA pode obter a chave privada do repositrio
de certificados.

4.

Clique na guia Nome de Entidade e desmarque as caixas de seleo Nome de email e Incluir nome
de email no nome de entidade.

5.

Adicione Arquivar Modelo do Usurio como um novo modelo de certificado a ser emitido.

Tarefa 5: Verificar a funcionalidade do arquivamento de chave


1.

Entre em LON-CL1 como Adatum\Aidan usando a senha Pa$$w0rd.

2.

Crie uma janela de console de MMC que inclua o snap-in de certificados.

3.

Solicite e registre um novo certificado baseado no modelo Usurio do arquivo.

4.

No repositrio pessoal, localize o certificado Usurio do Arquivo.

5.

Exclua o certificado de Aidan para simular uma chave perdida.

6.

Alterne para LON-SVR1.

7.

Abra o console da Autoridade de Certificao, expanda Adatum-IssuingCA e clique no repositrio


Certificados Emitidos.

8.

No console Autoridade de Certificao, observe o nmero de srie do certificado que foi emitido
para Aidan Delaney.

9.

Em LON-SVR1, abra um prompt de comando e digite o comando a seguir:


Certutil getkey <nmero de srie> outputblob

Observao: Substitua <nmero de srie> pelo nmero de srie que voc anotou.
10. Verifique se o arquivo Outputblob exibido na pasta C:\Users\Administrador.
11. Para converter o arquivo Outputblob em um arquivo .pfx importvel, no prompt de comando,
digite o comando seguinte:
Certutilrecoverkey outputblob aidan.pfx.

12. Insira a senha Pa$$w0rd do certificado.


13. Verifique a criao da chave recuperada na pasta C:\Users\Administrador.
14. Alterne para a mquina LON-CL1.
15. Abra o item Central de Rede e Compartilhamento no Painel de Controle e habilite o arquivo
e o compartilhamento de impressoras para o convidado ou para os perfis de rede de pblico.

6-50 Implementao dos Servios de Certificados do Active Directory

16. Retorne para LON-SVR1, copie e cole o arquivo aidan.pfx na raiz da unidade C em LON-CL1.
17. Alterne para LON-CL1 e importe o certificado aidan.pfx.
18. Verifique se o novo certificado aparece no repositrio pessoal.

Resultados: Depois de concluir este exerccio, voc ter implementado um arquivamento de chave
e ter testado a recuperao de chave privada.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 em 24412B-LON-CL1, 24412B-LON-SVR1, 24412B-LON-CA1


e 24412B-LON-SVR2.

Configurao de servios avanados do Windows Server 2012

6-51

Reviso e informaes complementares do mdulo


Perguntas de reviso
Pergunta: Por que razes uma organizao utilizaria a PKI?
Pergunta: Por que razes uma organizao usaria uma AC raiz corporativa?
Pergunta: Liste os requisitos para usar o registro automtico em certificados.
Pergunta: Quais so as etapas para configurar um respondente online?

Prtica recomendada:

Ao implantar a infraestrutura de AC, implante uma AC raiz autnoma (servidor associado que no
pertence ao domnio) e uma AC corporativa subordinada (AC emissora). Depois que a AC corporativa
subordinada receber um certificado da AC raiz, coloque a AC raiz offline.

Emita um certificado para a AC raiz por um longo perodo de tempo, como 15 ou 20 anos.

Use o registro automtico para certificados que so amplamente usados.

Use um agente de registro restrito sempre que possvel.

Use os cartes inteligentes virtuais para melhorar a segurana de logon.

Problemas comuns e dicas de soluo de problemas


Problema comum
O local do certificado de Autoridade de Certificao que
especificado na extenso de acesso a informaes da
autoridade no configurado para incluir o sufixo do
nome de certificado. Os clientes podem no conseguir
localizar a verso correta do certificado da AC emissora
para compilar uma cadeia de certificados e a validao
do certificado pode falhar.

A AC no configurada para incluir os locais de ponto


de distribuio de CRL nas extenses de certificados
emitidos. Os clientes podem no conseguir localizar
uma CRL para verificar o status de revogao de um
certificado, e a validao de certificado pode falhar.

A AC foi instalada como uma AC corporativa, mas


as configuraes da Poltica de Grupo de registro
automtico de usurio no foram habilitadas. Uma
AC corporativa pode usar o registro automtico para
simplificar a emisso e a renovao de certificado. Se
o registro automtico no for habilitado, a emisso
e a renovao de certificado pode no ocorrer como
esperado.

Dica para a soluo de problemas

6-52 Implementao dos Servios de Certificados do Active Directory

Problemas e cenrios reais


Contoso, Ltd. deseja implantar a PKI para dar suporte e proteger vrios servios. Eles decidiram usar os
Servios de Certificados do Windows Server 2012 como uma plataforma para a PKI. Os certificados sero
usados principalmente para EFS, assinatura digital, e para servidores Web. Como os documentos que
sero criptografados so importantes, essencial ter uma estratgia de recuperao de desastres no
caso de perda da chave. Alm disso, os clientes que tero acesso s partes seguras do site da empresa
no devem receber nenhum aviso nos seus navegadores.
1.

Que tipo de implantao a Contoso deve escolher ?

2.

Que tipo de certificados a Contoso deve usar para EFS e assinatura digital?

3.

Que tipo de certificados a Contoso deve usar para um site?

4.

Como a Contoso assegurar que dados com criptografia EFS no sero perdidos se um usurio
perder um certificado?

Ferramentas

Console da Autoridade de Certificado

Console de modelos de certificado

Console de certificados

Certutil.exe

7-1

Mdulo 7
Implementao do Active Directory
Rights Management Services
Contedo:
Viso geral do mdulo

7-1

Lio 1: Viso geral do AD RMS

7-2

Lio 2: Implantao e gerenciamento de uma infraestrutura do AD RMS

7-8

Lio 3: Configurao da proteo de contedo do AD RMS

7-15

Lio 4: Configurao do acesso externo ao AD RMS

7-22

Laboratrio: Implementao do AD RMS

7-27

Reviso e informaes complementares do mdulo

7-35

Viso geral do mdulo


O Active Directory Rights Management Services (AD RMS) fornece um mtodo para proteger o
contedo que vai alm da criptografia de dispositivos de armazenamento usando a Criptografia
de Unidade do Windows BitLocker ou a criptografia de arquivos individuais usando o EFS
(Encrypting File System). O AD RMS fornece um mtodo para proteger dados em trnsito e
em repouso, alm de garantir sua acessibilidade somente a usurios autorizados para uma
durao especfica.
Este mdulo apresenta o AD RMS. Tambm descreve como implantar o AD RMS, como configurar
a proteo de contedo e como tornar documentos protegidos pelo AD RMS disponveis para
usurios externos.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Fornecer uma viso geral do AD RMS.

Implantar e gerenciar uma infraestrutura do AD RMS.

Configurar a proteo de contedo do AD RMS.

Configurar o acesso externo ao AD RMS.

7-2

Implementao do Active Directory Rights Management Services

Lio 1

Viso geral do AD RMS


Antes de implantar o AD RMS, voc precisa saber como o AD RMS funciona, quais componentes fazem
parte de em uma implantao do AD RMS, e como voc deve implantar o AD RMS. Voc tambm deve
entender os conceitos por trs de vrios certificados e licenas do AD RMS.
Esta lio fornece uma viso geral do AD RMS, bem como os cenrios nos quais voc pode us-lo para
proteger os dados confidenciais de sua organizao.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever o AD RMS.

Explicar os cenrios nos quais voc pode usar o AD RMS.

Listar os componentes do AD RMS.

Listar os diferentes certificados e licenas do AD RMS.

Explicar como funciona o AD RMS.

O que AD RMS?
AD RMS uma tecnologia de proteo
de informaes criada para minimizar a
possibilidade de vazamento de dados.
Vazamento de dados a transmisso de
informaes sem autorizao para pessoas
dentro ou fora da organizao para quem
no deve ter acesso a essas informaes.
O AD RMS integra-se a produtos e sistemas
operacionais existentes Microsoft, incluindo
Windows Server, Microsoft Exchange Server,
Microsoft SharePoint Server e
Microsoft Office Suite.
O AD RMS pode proteger dados em trnsito e em repouso. Por exemplo, o AD RMS pode proteger
documentos que so enviados como mensagens de email garantindo que uma mensagem no possa ser
aberta nem mesmo quando endereada acidentalmente ao destinatrio errado. Voc tambm pode usar
o AD RMS para proteger dados armazenados em dispositivos como unidades USB removveis. Uma
desvantagem das permisses de arquivos e pastas que, uma vez que o arquivo copiado em outro
local, as permisses originais no se aplicam mais. Um arquivo copiado em uma unidade USB herdar as
permisses do dispositivo de destino. Uma vez copiado, um arquivo que era somente leitura pode se
tornar editvel alterando as permisses de arquivos e pastas. Com o AD RMS, o arquivo pode ser
protegido em qualquer local, independentemente das permisses de arquivos e pastas que concedem
o acesso. Com o AD RMS, somente os usurios autorizados a abrir o arquivo podero ver o contedo
desse arquivo.

Configurao de servios avanados do Windows Server 2012

Cenrios de uso do AD RMS


O uso principal do AD RMS controlar a
distribuio de informaes confidenciais.
Voc pode usar o AD RMS em combinao
com tcnicas de criptografia para proteger
dados quando estiverem em armazenamento
ou em trnsito. Pode haver muitas razes
para controlar a distribuio de informaes
confidenciais, como precisar garantir que somente
membros autorizados da equipe tenham acesso
a um arquivo, garantir que mensagens de email
confidenciais no possam ser encaminhadas, ou
garantir que detalhes de um projeto no liberado
se torne pblico. Considere os seguintes cenrios:

Cenrio 1
O CEO copia um arquivo de planilha que contm os pacotes de compensao dos executivos de
uma organizao de uma pasta protegida em um servidor de arquivos na unidade USB pessoal do
CEO. Durante o trajeto para casa, o CEO esquece a unidade USB no trem, onde algum sem conexo
com a organizao o encontra. Sem o AD RMS, quem encontrar a unidade USB pode abrir o arquivo.
Com o AD RMS, possvel garantir que o arquivo no pode ser aberto por usurios no autorizados.

Cenrio 2
Um documento interno deve ser visvel por um grupo de pessoas autorizadas na organizao. Essas
pessoas no devem poder editar ou imprimir o documento. Embora seja possvel usar a funcionalidade
nativa do Microsoft Office Word para restringir esses recursos, fazer isso exige que cada pessoa tenha
uma conta Windows Live. Com o AD RMS, voc pode configurar essas permisses com base em
contas existentes nos Servios de Domnio do Active Directory (AD DS).

Cenrio 3
Pessoas na organizao no devem poder encaminhar mensagens de email confidenciais atribudas
a uma classificao especfica. Com o AD RMS, voc pode permitir que um remetente atribua uma
classificao especfica a uma nova mensagem de email, e essa classificao ir garantir que o
destinatrio no possa encaminhar a mensagem.

7-3

7-4

Implementao do Active Directory Rights Management Services

Viso geral dos componentes do AD RMS


O cluster de certificao raiz do AD RMS o
primeiro servidor AD RMS que voc implanta
em uma floresta. O cluster de certificao
raiz do AD RMS gerencia todo o trfego de
licenciamento e certificao para o domnio
no qual instalado. O AD RMS armazena
informaes de configurao em um banco
de dados do Microsoft SQL Server ou no
Banco de Dados Interno do Windows. Em
ambientes grandes, do banco de dados
do SQL Server hospedado em um servidor
separado do servidor que hospeda a
funo AD RMS.
Os clusters somente de licenciamento do AD RMS so usados em ambientes distribudos. Os clusters
somente de licenciamento no fornecem certificao, mas permitem a distribuio de licenas que so
usadas para consumo e publicao de contedo. Os clusters somente de licenciamento so geralmente
implantados em filiais grandes em organizaes que usam o AD RMS.

Servidor AD RMS
Os servidores AD RMS devem ser membros de um domnio do AD DS. Quando voc instala o AD RMS,
as informaes sobre o local do cluster so publicadas no AD DS em um local conhecido como ponto
de conexo de servio. Os computadores que so membros do domnio consultam o ponto de conexo
de servio para determinar o local de servios do AD RMS.

Cliente AD RMS
O cliente AD RMS integrado aos sistemas operacionais Windows Vista, Windows 7 e Windows 8.
O cliente AD RMS permite que aplicativos habilitados para o AD RMS imponham a funcionalidade
ditada pelo modelo do AD RMS. Sem o cliente AD RMS, os aplicativos habilitados para o AD RMS
no poderiam interagir com o contedo protegido pelo AD RMS.

Aplicativos habilitados para o AD RMS


Os aplicativos habilitados para o AD RMS permitem que usurios criem e consumam contedo protegido
pelo AD RMS. Por exemplo, o Microsoft Outlook permite que os usurios vejam e criem mensagens de
email protegidas. O Office Word permite que os usurios vejam e criem documentos de processamento
de texto protegidos. A Microsoft fornece um kit de desenvolvimento de software (SDK) do AD RMS para
permitir que os desenvolvedores habilitem seus aplicativos para oferecer suporte proteo de contedo
do AD RMS.

Configurao de servios avanados do Windows Server 2012

7-5

Certificados e licenas do AD RMS


Para entender como o funciona AD RMS,
voc precisa estar familiarizado com seus
diferentes tipos de certificados e licenas.
Cada um desses certificados e licenas funciona
de modo diferente. Alguns certificados, como
o certificado de licenciante de servidor (SLC),
so extremamente importantes, e voc deve
fazer backup deles regularmente.

SLC
O SLC gerado quando voc cria o cluster
do AD RMS. Ele tem uma validade de 250 anos.
O SLC permite que o cluster do AD RMS emita:

SLCs para outros servidores no cluster.

Certificados de Contas de Direitos para clientes.

Certificados de licenciante de cliente.

Licenas de publicao.

Licenas de uso.

Modelo de poltica de direitos.

A chave pblica do SLC criptografa a chave de contedo em uma licena de publicao. Isso permite
que o servidor AD RMS extraia a chave de contedo e emita licenas de usurio final pela chave
de publicao.

Certificado de Mquina do AD RMS


O certificado de mquina do AD RMS usado para identificar um computador ou dispositivo confivel.
Esse certificado identifica o lockbox do computador cliente. A chave pblica do certificado de mquina
criptografa a chave privada do Certificado de Conta de Direitos. A chave privada do certificado
de mquina descriptografa os Certificados de Contas de Direitos.

Certificado de Conta de Direitos


O Certificado de Conta de Direitos (RAC) identifica um usurio especfico. O tempo de validade padro
para um RAC de 365 dias. Os RACs podem ser emitidos somente para usurios do AD DS cujas contas
de usurio tm endereos de email sejam associadas a eles. Um RAC emitido na primeira vez que
um usurio tenta acessar o contedo protegido pelo AD RMS. Voc pode ajustar o tempo de validade
padro usando o n Polticas de Certificados de Contas de Direitos do console do Active Directory
Rights Management Services.
Um RAC temporrio tem um tempo de validade de 15 minutos. RACs temporrios so emitidos quando
um usurio estiver acessando contedo protegido pelo AD RMS em um computador que no um
membro da mesma floresta ou de uma floresta confivel do cluster do AD RMS. Voc pode ajustar
o tempo de validade padro usando o n Polticas de Certificados de Contas de Direitos do console
do Active Directory Rights Management Services.

7-6

Implementao do Active Directory Rights Management Services

O AD RMS oferece suporte aos seguintes RACs adicionais:

Os RACs dos Servios de Federao do Active Directory (AD FS) so emitidos para usurios
federados. Eles tm uma validade de sete dias.

Dois tipos de RACs do Windows Live ID tm suporte. RACs do Windows Live ID usados em
computadores privados tm uma validade de seis meses; RACs do Windows Live ID usados
em computadores pblicos so vlidos at o usurio fazer logoff.

Certificado de Licenciante de Cliente


Um certificado de licenciante de cliente permite que um usurio publique contedo protegido
pelo AD RMS quando o computador cliente no est conectado mesma rede do cluster do AD RMS.
A chave pblica de certificado de licenciante de cliente criptografa a chave de contedo simtrica e a
inclui na licena de publicao emitida. A chave privada do certificado de licenciante de cliente assina
qualquer licena de publicao emitida quando o cliente no est conectado ao cluster do AD RMS.
Os certificados de licenciante de cliente so vinculados ao RAC de um usurio especfico. Se outro usurio
que no teve um RAC emitido tentar publicar contedo protegido pelo AD RMS no mesmo cliente, ele
no poder faz-lo at que o cliente conecte-se ao cluster do AD RMS e possa emitir um RAC a esse
usurio.

Licena de Publicao
Uma licena de publicao (PL) determina os direitos que se aplicam ao contedo protegido
pelo AD RMS. Por exemplo, a licena de publicao determina se o usurio pode editar, imprimir
ou salvar um documento. A licena de publicao contm a chave de contedo, que criptografada
usando a chave pblica do servio de licenciamento. Tambm contm a URL e a assinatura digital
do servidor AD RMS.

Licena de Usurio Final


Uma licena de usurio final necessria para consumir contedo protegido pelo AD RMS.
O servidor AD RMS emite uma licena de usurio final por usurio por documento. As licenas
de usurio final so armazenadas em cache por padro.

Como o AD RMS funciona


O AD RMS funciona da seguinte maneira:
1.

A primeira vez que o autor do documento


configura a proteo de direitos para o
documento, um certificado de licenciante
de cliente solicitado pelo servidor AD RMS.

2.

O servidor emite o certificado de licenciante


de cliente para o cliente.

3.

Quando o autor recebe o certificado do


servidor AD RMS, ele pode configurar
os direitos de uso no documento.

4.

Quando o autor configura os direitos de uso,


o aplicativo criptografa o arquivo com uma chave simtrica.

5.

Essa chave simtrica criptografada na chave pblica do servidor AD RMS que usada pelo autor.

Configurao de servios avanados do Windows Server 2012

7-7

6.

O destinatrio do arquivo o abre usando um aplicativo ou navegador do AD RMS. No possvel


abrir contedo protegido pelo AD RMS a menos que o aplicativo ou navegador oferea suporte
ao AD RMS. Se o destinatrio no tiver um certificado de conta no dispositivo atual, ele ser emitido
para o usurio nesse momento. O aplicativo ou navegador transmite uma solicitao ao servidor
AD RMS do autor para uma Licena de Uso.

7.

O servidor AD RMS determina se o destinatrio est autorizado. Se o destinatrio estiver autorizado,


o servidor AD RMS emitir uma Licena de Uso.

8.

O servidor AD RMS descriptografa a chave simtrica que foi criptografada na etapa 3 usando
sua chave privada.

9.

O servidor AD RMS criptografa novamente a chave simtrica usando a chave pblica do destinatrio
e adiciona a chave de sesso criptografada Licena de Uso.

7-8

Implementao do Active Directory Rights Management Services

Lio 2

Implantao e gerenciamento de uma infraestrutura


do AD RMS
Antes de implantar o AD RMS, importante ter um plano de implantao que seja apropriado para o
ambiente de sua organizao. A implantao do AD RMS em uma floresta de nico domnio diferente
da implantao do AD RMS em cenrios onde voc precisa oferecer suporte a publicao e o consumo
de contedo por vrias florestas, para organizaes parceiras confiveis ou pela Internet pblica. Antes
de implantar o AD RMS, voc tambm precisa saber os requisitos de cliente e uma estratgia apropriada
de backup e recuperao do AD RMS.
Esta lio fornece uma viso geral da implantao do AD RMS e as etapas que voc precisa executar
para fazer backup, recuperar e encerrar uma infraestrutura do AD RMS.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever cenrios de implantao do AD RMS.

Configurar o cluster do AD RMS.

Explicar como instalar o primeiro servidor de um cluster do AD RMS.

Descrever os requisitos de cliente do AD RMS.

Explicar como implementar uma estratgia de backup e restaurao do AD RMS.

Explicar como encerrar e remover o AD RMS.

Cenrios de implantao do AD RMS


Uma implantao do AD RMS consiste em
um ou mais servidores conhecidos como
cluster. Um cluster do AD RMS no um
cluster de failover de alta disponibilidade.
Quando voc for implantar o AD RMS,
dever hospedar o servidor de forma que
esteja altamente disponvel. O AD RMS
geralmente implantado como uma
mquina virtual altamente disponvel.
Quando voc implantar o AD RMS em uma
nica floresta, ter um nico cluster do AD RMS.
Essa a forma mais comum de implantao
do AD RMS. Voc adiciona servidores ao cluster do AD RMS conforme necessrio para fornecer
capacidade adicional.
Quando voc implanta o AD RMS em vrias florestas, cada floresta deve ter seu prprio cluster raiz
do AD RMS. necessrio configurar Domnios de Publicao Confiveis do AD RMS para garantir
que o contedo do AD RMS possa ser protegido e consumido pelas vrias florestas.
Voc tambm pode implantar o AD RMS em locais de extranet. Nessa implantao, o servidor
de licenciamento do AD RMS acessvel para hosts na Internet. Voc usa esse tipo de implantao
para oferecer suporte colaborao com usurios externos.

Configurao de servios avanados do Windows Server 2012

7-9

Voc pode implantar o AD RMS com o AD FS ou o Microsoft Federation Gateway. Nesse cenrio, os
usurios utilizam a identidade federada para publicar e consumir contedo protegido por direitos.
Como prtica recomendada, voc no deve implantar o AD RMS em um controlador de domnio. Voc
pode implantar o AD RMS somente em um controlador de domnio se a conta de servio for membro
do grupo Admins. do Domnio.

Configurao do cluster do AD RMS


Quando voc implantar a funo de servidor
AD RMS, dever configurar o cluster do AD RMS
antes de poder usar o AD RMS. A configurao
do cluster do AD RMS envolve a configurao
dos seguintes componentes:
1.

Cluster do AD RMS. Escolha entre criar um


novo cluster AD RMS raiz ou ingressar em
um cluster existente.

2.

Banco de dados de configurao. Escolha


entre usar uma instncia existente do
SQL Server na qual armazenar o banco
de dados de configurao do AD RMS
ou configurar e instalar o Banco de Dados Interno do Windows localmente. Voc pode usar o
SQL Server 2008, SQL Server 2008 R2 ou SQL Server 2012 para oferecer suporte a uma implantao
do AD RMS no Windows Server 2012. Como prtica recomendada, use um banco de dados do
SQL Server hospedado em um servidor separado.

3.

Conta de servio. A Microsoft recomenda usar uma conta de usurio de domnio padro com
permisses adicionais. Voc pode usar uma conta de servio gerenciada como a conta de servio
do AD RMS.

4.

Modo criptogrfico. Escolha a intensidade da criptografia usada com o AD RMS.


o

O Modo Criptogrfico 2 usa chaves RSA de 2048 bits e hashes SHA-256.

O Modo Criptogrfico 1 usa chaves RSA de 1045 bits e hashes SHA-1.

5.

Armazenamento de chave do cluster. Escolha onde a chave do cluster ser armazenada. Voc pode
armazen-la no AD RMS ou usar um provedor de servio criptogrfico especial (CSP). Se voc optar
por usar um CSP e quiser adicionar mais servidores, dever distribuir a chave manualmente.

6.

Senha da chave de cluster. Essa senha criptografa a chave do cluster e necessria para ingressar
em outros servidores AD RMS do cluster, ou se quiser restaurar o cluster a partir do backup.

7.

Site do cluster. Escolha qual site do servidor local hospedar o site do cluster do AD RMS.

8.

Endereo do cluster. Especifique o nome de domnio totalmente qualificado (FQDN) a ser usado com
o cluster. Voc tem a opo de escolher entre um site criptografado pelo SSL e um no criptografado
pelo SSL. Se voc escolher um site no criptografado pelo SSL, no poder adicionar suporte para
federao de identidade. Quando voc definir o endereo e a porta do cluster, no poder alter-los
sem remover o AD RMS completamente.

7-10 Implementao do Active Directory Rights Management Services

9.

Certificado de licenciante. Escolha o nome amigvel que o SLC usar. Ele deve representar a funo
do certificado.

10. Registro de pronto de conexo de servio. Escolha se o ponto de conexo de servio ser registrado
no AD DS quando o cluster do AD RMS for criado. O ponto de conexo de servio permite que
os computadores que so membros do domnio localizem o cluster do AD RMS automaticamente.
Somente os membros do grupo Administradores de Empresa podem registrar o ponto de conexo
de servio. Voc pode executar esta etapa aps a criao do cluster do AD RMS; voc no ter
de execut-la durante o processo de configurao.

Demonstrao: Instalao do primeiro servidor de um cluster do AD RMS


Nesta demonstrao, voc ver como implantar o AD RMS em um computador que executa
o Windows Server 2012.

Etapas da demonstrao
Configurar conta de servio
1.

Use a Central Administrativa do Active Directory para criar uma unidade organizacional chamada
Contas de Servio no domnio adatum.com.

2.

Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o

Nome: ADRMSSVC

Logon UPN do usurio: ADRMSSVC

Senha: Pa$$w0rd

Confirmar senha: Pa$$w0rd

A senha nunca expira: Habilitado

O usurio no pode alterar a senha: Habilitado

Preparar o DNS

Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o

Nome: adrms

Endereo IP: 172.16.0.21

Instalar a funo AD RMS


1.

Entre em LON-SVR1 com a conta Adatum\Administrador usando a senha Pa$$w0rd.

2.

Use o Assistente de Adio de Funes e Recursos para adicionar a funo AD RMS a LON-SVR1
usando a seguinte opo:
o

Servios de funo: Active Directory Rights Management Server Services

Configurao de servios avanados do Windows Server 2012

Configurar o AD RMS
1.

No Gerenciador do Servidor, no n AD RMS, clique em Mais para iniciar a configurao


ps-implantao do AD RMS.

2.

No Assistente de Configurao do AD RMS, fornea as seguintes informaes:

3.

Criar novo cluster AD RMS raiz

Usar o Banco de Dados Interno do Windows neste servidor

Usar Adatum\ADRMSSVC como a conta de servio

Modo Criptogrfico: Modo Criptogrfico 2

Armazenamento de Chave do Cluster: Usar armazenamento de chave centralmente


gerenciada no AD RMS

Senha da Chave de Cluster: Pa$$w0rd

Site do Cluster: Default Web Site

Tipo de Conexo: Usar uma conexo descriptografada

Nome de Domnio Totalmente Qualificado: http://adrms.adatum.com

Porta: 80

Certificado de Licenciante: Adatum AD RMS

Registrar Ponto de Conexo do Servio AD RMS: Registrar o SCP Agora

Saia de LON-SVR1.
Observao: Voc deve sair antes de poder gerenciar o AD RMS.

Requisitos do cliente AD RMS


O contedo do AD RMS pode ser publicado
e consumido somente por computadores que
executam o cliente AD RMS. Todas as verses
dos sistemas operacionais cliente Windows Vista,
Windows 7 e Windows 8 incluem o software
cliente AD RMS. Os sistemas operacionais
Windows Server 2008, Windows Server 2008 R2
e Windows Server 2012 tambm incluem o
cliente AD RMS. Esses sistemas operacionais no
exigem configurao adicional para consumir
e publicar contedo protegido pelo AD RMS.

7-11

7-12 Implementao do Active Directory Rights Management Services

O software cliente AD RMS est disponvel para download para computadores que executam os sistemas
operacionais Microsoft Windows XP e Mac OS X. Esse software cliente deve ser instalado para que os
usurios desses sistemas operacionais possam consumir e publicar o contedo protegido pelo AD RMS.
O AD RMS requer aplicativos compatveis. Os aplicativos de servidor que oferecem suporte ao AD RMS
incluem o seguinte:

Microsoft Exchange Server 2007

Exchange Server 2010

Exchange Server 2013

Microsoft Office SharePoint Server 2007

SharePoint Server 2010

SharePoint Server 2013

Os aplicativos cliente, como os includos no Microsoft Office 2003, Office 2007, Office 2010 e Office 2013,
podem publicar e consumir contedo protegido pelo AD RMS. Voc pode usar o SDK do AD RMS para
criar aplicativos que podem publicar e consumir contedo protegido pelo AD RMS. O Visualizador XPS
e o Windows Internet Explorer tambm podem exibir contedo protegido pelo AD RMS.
Observao: A Microsoft liberou a nova verso do software cliente AD RMS AD RMS
Client 2.0. possvel baix-lo do Centro de Download da Microsoft. Entre outras coisas, a
nova verso fornece um novo SDK que voc tambm pode baixar do Centro de Download
da Microsoft. O novo SDK do AD RMS fornece um mecanismo simples para desenvolvedores
criarem aplicativos e solues que protegem e consomem contedo importante. Com o novo
SDK, agora possvel habilitar com direitos aplicativos e solues com muito mais rapidez
e facilidade do que nunca.

Licenciamento de cliente AD RMS


Para usar os Servios de Gerenciamento de Direitos em seu ambiente do AD DS, voc deve ter CALs
(Licenas de Acesso para Cliente) do Gerenciamento de Direitos do Windows. Essas CALs so diferentes
das tradicionais CALs do Windows Server de que voc precisa para conectar o cliente ao servidor. Cada
usurio que ir criar ou usar arquivos protegidos por direitos devero ter uma CAL de Usurio do RMS.
Opcionalmente, voc tambm pode usar CALs de Dispositivo do RMS para computadores que sero
usados para criar e exibir contedo protegido pelo RMS.
Se voc precisar compartilhar seu contedo protegido pelo RMS fora de sua organizao, dever adquirir
uma Licena de Conector Externo do RMS. Essa licena concede s organizaes o direito de permitir
um nmero ilimitado de usurios externos a acessar ou usar uma cpia individual licenciada do software
servidor RMS sem precisar adquirir CALs para cada usurio externo.

Configurao de servios avanados do Windows Server 2012

7-13

Implementao de uma estratgia de backup e restaurao do AD RMS


Para evitar a perda de dados, voc deve garantir
que o backup do servidor AD RMS seja feito de
maneira que possa ser recuperado em caso de
corrompimento de arquivo ou falha no servidor.
Se o servidor AD RMS ficar inacessvel, todo
o contedo protegido pelo AD RMS tambm
ficar inacessvel.
Uma estratgia simples para implementar o
backup e a restaurao do AD RMS executar
servidor AD RMS como mquina virtual e usar
um produto de backup corporativo, como o
Microsoft System Center 2012 Data Protection
Manager, para executar backups regulares da mquina virtual. Alguns dos componentes importantes
que requerem backups so a chave privada, os certificados, o banco de dados do AD RMS e os modelos.
Voc tambm pode fazer um backup completo do servidor, executando servidor AD RMS em uma
mquina virtual.
Como prtica recomendada, voc precisa fazer backup da chave privada do AD RMS e de todos os
certificados usados pelo AD RMS. O mtodo mais simples de fazer isso exportar os certificados para
um local seguro. Voc tambm deve fazer backup regularmente do banco de dados do AD RMS.
O mtodo usado para fazer isso depende se o AD RMS usa o SQL Server ou o Banco de Dados Interno
do Windows. Para fazer backup de modelos, configure os modelos para serem exportados para uma
pasta compartilhada e depois faa backup desses modelos.
Quando voc estiver executando a recuperao da funo AD RMS, talvez seja necessrio excluir o objeto
ServiceConnectionPoint do AD DS. Voc precisar fazer isso se estiver recuperando um servidor
de configurao raiz do AD RMS e o servidor tentar se autoprovisionar como servidor somente
de licenciamento.

Encerramento e remoo do AD RMS


Antes de remover um servidor AD RMS, voc
deve encerr-lo. Encerrar o AD RMS coloca o
cluster em um estado em que os consumidores
de contedo protegido pelo AD RMS podem
obter chaves especiais que descriptografam
esse contedo, independentemente das restries
existentes impostas ao uso desse contedo.
Se voc no tiver um perodo de encerramento
e simplesmente remover o servidor AD RMS,
o contedo protegido pelo AD RMS ficar
inacessvel.

7-14 Implementao do Active Directory Rights Management Services

Para encerrar o AD RMS, execute as etapas a seguir:


1.

Entre no servidor que est hospedando o AD RMS e que voc deseja encerrar.

2.

Modifique a lista de controle de acesso (ACL) do arquivo decommissioning.asmx. Conceda ao grupo


Todos a permisso Ler e Executar no arquivo. Esse arquivo armazenado na pasta
%systemdrive%\inetpub\wwwroot\_wmcs\decomission.

3.

No console do Active Directory Rights Management Services, expanda o n Polticas de Segurana


e clique no n Encerramento.

4.

No painel Aes, clique em Habilitar Encerramento.

5.

Clique em Encerrar.

6.

Quando for solicitada a confirmao de que deseja encerrar o servidor, clique em Sim.

Depois que o processo de encerramento do AD RMS estiver concludo, voc deve exportar o certificado
de licenciante de servidor antes de desinstalar a funo AD RMS.

Configurao de servios avanados do Windows Server 2012

7-15

Lio 3

Configurao da proteo de contedo do AD RMS


O AD RMS usa modelos de poltica de direitos para impor um conjunto consistente de polticas para
proteger o contedo. Ao configurar o AD RMS, voc precisa desenvolver estratgias para garantir que
os usurios ainda possam acessar o contedo protegido de um computador que no esteja conectado
ao cluster do AD RMS. Voc tambm precisa desenvolver estratgias para impedir que alguns usurios
acessem contedo protegido pelo AD RMS, e estratgias para garantir que o contedo protegido possa
ser recuperado caso tenha expirado, o modelo tenha sido excludo ou se o autor do contedo no estiver
mais disponvel.

Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:

Descrever a funo de modelos de poltica de direitos.

Explicar como criar um modelo de poltica de direitos.

Explicar como implementar estratgias para garantir que modelos de poltica de direitos estejam
disponveis para uso offline.

Descrever polticas de excluso.

Explicar como criar uma poltica de excluso para excluir um aplicativo.

Implementar um grupo de superusurios do AD RMS.

Que so modelos de poltica de direitos?


Os modelos de poltica de direitos permitem
configurar mtodos padro de implementao
de polticas do AD RMS na organizao. Por
exemplo, voc pode configurar modelos padro
que concedam direitos somente de exibio,
bloquear a capacidade de editar, salvar e imprimir
ou, se usado com o Exchange Server, bloquear
a capacidade de encaminhar ou responder
a mensagens.
Os modelos de poltica de direitos so criados
usando o console do Active Directory Rights
Management Services. Eles so armazenados
no banco de dados do AD RMS e tambm podem ser armazenados em formato XML. Quando o
contedo consumido, o cliente verifica com o AD RMS se ele tem a verso mais recente do modelo.

7-16 Implementao do Active Directory Rights Management Services

O autor de um documento pode optar por proteger o contedo aplicando um modelo existente. Isso
feito usando um aplicativo que reconhece o AD RMS. Por exemplo, no Office Word, voc aplica um
modelo usando a funo Proteger Documento. Quando voc faz isso, Office Word consulta o AD DS
para determinar o local do servidor AD RMS. Quando o local do servidor AD RMS adquirido, os modelos
disponveis ao autor do contedo podem ser usados.
Os modelos do AD RMS oferecem suporte aos seguintes direitos:

Controle Total. Fornece ao usurio controle total sobre um documento protegido pelo AD RMS.

Exibir. Fornece ao usurio a capacidade de exibir um documento protegido pelo AD RMS.

Editar. Permite que o usurio modifique um documento protegido pelo AD RMS.

Salvar. Permite que o usurio use a funo Salvar com um documento protegido pelo AD RMS.

Exportar (Salvar como). Permite que o usurio use a funo Salvar como com um documento
protegido pelo AD RMS.

Imprimir. Permite imprimir um documento protegido pelo AD RMS.

Encaminhar. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS encaminhe essa mensagem.

Responder. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS responda a essa mensagem.

Responder a Todos. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem
protegida pelo AD RMS use a funo Responder a Todos para responder a essa mensagem.

Extrair. Permite que o usurio copie dados do arquivo. Se esse direito no for concedido, o usurio
no poder copiar dados do arquivo.

Permitir Macros. Permite que o usurio utilize macros.

Exibir Direitos. Permite que o usurio veja os direitos atribudos.

Editar Direitos. Permite que o usurio modifique os direitos atribudos.

Direitos podem ser apenas concedidos e no podem ser negados explicitamente. Por exemplo, para
garantir que um usurio no possa imprimir um documento, o modelo associado ao documento no
deve incluir o direito Imprimir.
Os administradores tambm podem criar direitos personalizados que possam ser usados com aplicativos
personalizados que reconheam o AD RMS.

Configurao de servios avanados do Windows Server 2012

7-17

Os modelos do AD RMS tambm podem ser usados para configurar documentos com as seguintes
propriedades:

Expirao do Contedo. Determina quando o contedo expira. As opes so:


o

Nunca. O contedo nunca expira.

Expira em uma data especfica. O contedo expira em data e hora especficas.

Expira aps. O contedo expira aps um nmero de dias da sua criao.

Expirao da licena de uso. Determina o perodo em que a licena de uso ir expirar e uma
nova dever ser adquirida.

Habilitar usurios para visualizao de contedo protegido, usando um complemento


de navegador. Permite exibir o contedo usando um complemento de navegador. No exige
que o usurio tenha um aplicativo que reconhea o AD RMS.

Solicitar uma nova licena de uso sempre que o contedo for consumido. Quando voc
habilita essa opo, o cache do cliente desabilitado. Isso significa que o documento no pode
ser consumido quando o computador estiver offline.

Polticas de revogao. Permite o uso de uma lista de revogao. Isso permite que um autor
revogue a permisso para consumir o contedo. Voc pode especificar com que frequncia
a lista de revogao verificada, com o padro sendo uma vez a cada 24 horas.

Quando um modelo de poltica do AD RMS aplicado a um documento, as atualizaes desse modelo


tambm sero aplicadas ao documento. Por exemplo, se voc tiver um modelo sem uma poltica de
expirao de contedo usada para proteger documentos, e modificar esse modelo para incluir uma
poltica de expirao de contedo, esses documentos protegidos passaro a ter uma poltica de
expirao. As alteraes do modelo so refletidos quando a licena de usurio final adquirida.
Se licenas de usurio final forem configuradas para no expirar e o usurio que estiver acessando
o documento tiver uma licena, ele poder no receber o modelo atualizado.
Observao: Voc deve evitar excluir modelos, pois os documentos que usam esses
modelos se tornaro inacessveis para todos, exceto membros do grupo de superusurios.
Como prtica recomendada, arquive os modelos em vez de exclu-los.
Voc pode exibir os direitos associados a um modelo selecionando o modelo no console do Active
Directory Rights Management Services e, no menu Aes, clicando em Exibir Resumo de Direitos.

7-18 Implementao do Active Directory Rights Management Services

Demonstrao: Criao de um modelo de poltica de direitos


Nesta demonstrao, voc ver como criar um modelo de poltica de direitos que permita que os usurios
vejam um documento, mas no executem outras aes.

Etapas da demonstrao

No console do Active Directory Rights Management Services, use o n Modelo de Poltica de Direitos
para criar um modelo de poltica de direitos distribudos com as seguintes propriedades:
o

Idioma: Portugus (Brasil)

Nome: ReadOnly

Descrio: Acesso somente leitura. Sem cpia ou impresso.

Usurios e direitos: executivos@adatum.com

Direitos para todos: Exibio

Conceder ao proprietrio (autor) o direito ininterrupto de controle total

Expirao do Contedo: Expira aps 7 dias

Expirao da licena de uso: Expira aps 7 dias

Solicitar uma nova licena de uso sempre que o contedo for consumido (desabilitar cache
no lado do cliente): Habilitado

Fornecimento de modelos de poltica de direitos para uso offline


Se os usurios forem publicar modelos
conectados ao AD RMS quando no estiverem
conectados rede, voc dever garantir que eles
tenham acesso a uma cpia local dos modelos
de poltica de direitos disponveis.
Voc pode configurar os computadores para
adquirir e armazenar modelos de poltica de
direitos publicados automaticamente, para
que estejam disponveis offline. Para habilitar
esse recurso, os computadores devem estar
executando os seguintes sistemas operacionais
Windows:

Windows Vista com Service Pack 1 (SP1) ou mais recente

Windows 7

Windows 8

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Configurao de servios avanados do Windows Server 2012

7-19

Para habilitar essa funcionalidade, no Agendador de Tarefas, habilite a Tarefa Agendada


de Gerenciamento de Modelos de Poltica de Direitos (Automatizada) da AD RMS
e edite a seguinte chave do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Fornea o seguinte local para o armazenamento de modelos:


%LocalAppData%\Microsoft\DRM\Templates
Quando os computadores que executam esses sistemas operacionais estiverem conectados ao domnio, o
cliente AD RMS busca no cluster do AD RMS por novos modelos ou atualizaes para modelos existentes.
Como alternativa para a distribuio de modelos, voc tambm pode usar pastas compartilhadas como
armazenamento para modelos. Voc pode configurar uma pasta compartilhada para modelos executando
as seguintes etapas:
1.

No console do Active Directory Rights Management Services, clique com o boto direito do mouse
no n Modelos de Poltica de Direitos e clique em Propriedades.

2.

Na caixa de dilogo Propriedades de Modelos de Poltica de Direitos, especifique o local da pasta


compartilhada na qual os modelos sero publicados.

O que so polticas de excluso?


As polticas de excluso permitem impedir
que contas de usurio, softwares cliente
ou aplicativos especficos usam o AD RMS.

Excluso de Usurio
A poltica Excluso de Usurio permite configurar
o AD RMS para que contas de usurio especficas
que so identificadas com base nos endereos
de email no possam obter licenas de uso.
Voc faz isso adicionando o RAC de cada usurio
lista de excluso. A Excluso de Usurio
desabilitada por padro. Uma vez habilitada
a Excluso de Usurio, pode excluir RACs
especficos.
Voc pode usar a Excluso de Usurio caso precise impedir o acesso de um usurio especfico ao
contedo protegido pelo AD RMS. Por exemplo, quando os usurios saem da organizao, voc pode
excluir seus RACs para garantir que eles no possam acessar o contedo protegido. Voc pode bloquear
os RACs atribudos a usurios internos e externos.

Execuo de Aplicativo
A poltica Excluso de Aplicativo permite impedir que aplicativos especficos como Office PowerPoint
criem ou consumam o contedo protegido pelo AD RMS. Voc especifica aplicativos com base em
nomes executveis. Voc tambm especifica uma verso mnima e mxima do aplicativo. A Excluso
de Aplicativo desabilitada por padro.
Observao: possvel burlar a Excluso de Aplicativo renomeando um arquivo executvel.

7-20 Implementao do Active Directory Rights Management Services

Excluso de Lockbox
A poltica Excluso de Lockbox permite excluir clientes AD RMS, como aqueles usados com sistemas
operacionais especficos, como Windows XP e Windows Vista. A Excluso de Verso de Lockbox
desabilitada por padro. Uma vez habilitada a Excluso de Verso de Lockbox, voc deve especificar
a verso de lockbox mnima que pode ser usada com o cluster do AD RMS.
Leitura adicional: Para saber mais sobre como habilitar polticas de excluso, consulte
Habilitando polticas de excluso em http://go.microsoft.com/fwlink/?LinkId=270031.

Demonstrao: Criao de uma poltica de excluso para excluir


um aplicativo
Nesta demonstrao, voc ver como excluir o aplicativo Office PowerPoint do AD RMS.

Etapas da demonstrao
1.

No console do Active Directory Rights Management Services, habilite Excluso de aplicativo.

2.

Na caixa de dilogo Excluir Aplicativo, digite as seguintes informaes:


o

Nome de arquivo do aplicativo: Powerpnt.exe

Verso mnima: 14.0.0.0

Verso mxima: 16.0.0.0

Grupo Superusurios do AD RMS


O grupo Superusurios do AD RMS uma funo
especial, e os membros desse grupo tm total
controle sobre o contedo protegido por direitos
gerenciado pelo cluster. Os membros do grupo
Superusurios recebem plenos direitos de
proprietrio em todas as licenas de uso que
so emitidas pelo cluster do AD RMS no qual
o grupo de superusurios est configurado.
Isso significa que os membros desse grupo
podem descriptografar qualquer arquivo de
contedo protegido por direitos e remover
a proteo de direitos.
O grupo de superusurios do AD RMS fornece um mecanismo de recuperao de dados para contedo
protegido pelo AD RMS. Esse mecanismo til caso voc tenha de recuperar dados protegidos pelo
AD RMS, como quando o contedo expira, quando um modelo excludo ou quando voc no tem
acesso.

Configurao de servios avanados do Windows Server 2012

7-21

Os membros do grupo de superusurios recebem licenas de uso de proprietrio para todo o contedo
protegido pelo cluster do AD RMS no qual esse grupo de superusurios especfico est habilitado.
Os membros do grupo de superusurios pode redefinir a senha de chave privada do servidor AD RMS.
Como os membros do grupo de superusurios podem acessar qualquer contedo protegido pelo
AD RMS, voc deve ter cuidado principalmente quando estiver gerenciando a associao desse grupo.
Se voc optar por usar o grupo de superusurios do AD RMS, dever considerar a implementao
da poltica de grupos restritos e da auditoria para limitar a associao ao grupo, e auditar qualquer
alterao realizada. A atividade dos superusurios gravada no log de eventos do aplicativo.
O grupo de superusurios desabilitado por padro. Voc habilita o grupo de superusurios executando
as seguintes etapas:
1.

No console do Active Directory Rights Management Services, expanda o n do servidor e clique


em Polticas de Segurana.

2.

Na rea Polticas de Segurana, em Superusurios, clique em Alterar Configuraes


de Superusurio.

3.

No painel Aes, clique em Habilitar Superusurios.

Para definir um grupo especfico como o grupo de superusurios:


1.

Na rea Polticas de Segurana\Superusurios, clique em Alterar grupo de superusurios.

2.

Fornea o endereo de email associado ao grupo de superusurios.

7-22 Implementao do Active Directory Rights Management Services

Lio 4

Configurao do acesso externo ao AD RMS


Voc pode considerar necessrio fornecer aos usurios que no fazem parte da organizao o acesso
ao contedo protegido pelo AD RMS. Essa poderia ser uma situao onde um usurio externo um
prestador de servios que precisa de acesso a materiais confidenciais, ou uma organizao parceira
onde seus usurios precisam acessar o contedo protegido publicado pelo servidor AD RMS. O AD RMS
prov vrias opes diferentes para conceder acesso ao contedo protegido para usurios externos.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever as opes disponveis para tornar o contedo protegido pelo AD RMS acessvel
para usurios externos.

Explicar como implementar domnios de usurio confiveis.

Listar as etapas necessrias para implantar domnios de publicao confiveis.

Descrever as etapas necessrias para configurar o AD RMS para compartilhar contedo protegido
com usurios que tenham Windows Live IDs.

Determinar a soluo apropriada para compartilhar contedo protegido pelo AD RMS com usurios
externos.

Opes para habilitar o acesso ao AD RMS para usurios externos


As polticas de confiana permitem que usurios
fora da sua organizao possam consumir o
contedo protegido pelo AD RMS. Por exemplo,
uma poltica de confiana pode permitir que os
usurios de ambientes BYOD (traga seu prprio
dispositivo) consumam o contedo protegido
pelo AD RMS, at mesmo aqueles computadores
que no so membros do domnio AD DS
da organizao. As relaes de confiana do
AD RMS so desabilitadas por padro, e voc
deve habilit-las para poder us-las. O AD RMS
oferece suporte s seguintes polticas
de confiana.

Domnios de Usurio Confiveis


Domnios de Usurio Confiveis (TUDs) permitem que um cluster do AD RMS processe solicitaes para
certificados de licenciante de cliente ou licenas de uso de pessoas que tenham RACs emitidas por um
cluster do AD RMS diferente. Por exemplo, a A. Datum Corporation e a Trey Research so organizaes
separadas que implantaram o AD RMS. Os TUDs permitem que cada organizao publique e consuma
o contedo protegido pelo AD RMS de e para a organizao parceira sem ter de implementar relaes
de confiana do AD DS ou o AD FS.

Configurao de servios avanados do Windows Server 2012

7-23

Domnios de Publicao Confiveis


Domnios de Publicao Confiveis (TPDs) permitem que um cluster do AD RMS emita licenas
de usurio final para contedo que usa licenas de publicao emitidas por um cluster do AD RMS
diferente. Os TPDs consolidam a infraestrutura existente do AD RMS.

Confiana de Federao
A Confiana de Federao fornece logon nico (SSO) para tecnologias de parceiros. Os parceiros
federados podem consumir o contedo protegido pelo AD RMS sem implantar sua prpria
infraestrutura do AD RMS. A Confiabilidade de Federao a implantao do AD FS.

Confiana do Windows Live ID


Voc pode usar o Windows Live ID para permitir que usurios autnomos com contas Windows Live ID
consumam o contedo protegido pelo AD RMS gerado por usurios em sua organizao. No entanto,
usurios do Windows Live ID no podem criar contedo protegido pelo cluster do AD RMS.

Microsoft Federation Gateway


O Microsoft Federation Gateway permite que um cluster do AD RMS processe solicitaes para publicar
e consumir o contedo protegido pelo AD RMS de organizaes externas, aceitando tokens de
autenticao baseados em declaraes do Microsoft Federation Gateway. Em vez de configurar uma
Confiana de Federao, cada organizao tem uma relao com o Microsoft Federation Gateway.
O Microsoft Federation Gateway atua como um agente de confiana.
Leitura adicional: Para saber mais sobre as polticas de confiana do AD RMS,
consulte http://go.microsoft.com/fwlink/?LinkId=270032.

Implementao de TUD
O TUD permite que o AD RMS atenda
solicitaes de usurios que tm RACs
emitidas por diferentes implantaes
do AD RMS. Voc pode usar excluses
com cada TUD para bloquear o acesso
a usurios e grupos especficos.
Para configurar o AD RMS para oferecer suporte
s solicitaes de servios de usurios com RACs
emitidas por diferentes implantaes do AD RMS,
adicione a organizao lista de TUDs. Os TUDs
podem ser unidirecionais, onde a organizao
A um TUD da organizao B, ou bidirecionais,
onde a organizao A e a organizao B so TUDs uma da outra. Em implantaes unidirecionais,
possvel que os usurios do TUD consumam o contedo da implantao local do AD RMS, mas
eles no podem publicar contedo protegido pelo AD RMS usando o cluster local do AD RMS.
Voc precisa habilitar o acesso annimo ao servio de licenciamento do AD RMS nos Servios
de Informaes da Internet (IIS) ao usar TUD. Isso porque, por padro, acessar o servio requer
a autenticao usando a Autenticao Integrada do Windows.

7-24 Implementao do Active Directory Rights Management Services

Para adicionar um TUD, execute as seguintes etapas:


1.

O TUD da implantao do AD RMS em que voc deseja confiar j deve ter sido exportado
e o arquivo deve estar disponvel. (Os arquivos TUD usam a extenso .bin.)

2.

No console do AD RMS, expanda Polticas de Confiana e clique em Domnios de Usurio


Confiveis.

3.

No painel Aes, clique em Importar Domnio de Usurio Confivel.

4.

Na caixa de dilogo Domnio de Usurio Confivel, digite o caminho para o arquivo TUD
exportado com a extenso .bin.

5.

Fornea um nome para identificar esse TUD. Se voc configurou a federao, tambm poder
optar por estender a confiana a usurios federados do servidor importado.

Voc tambm pode usar o cmdlet Import-RmsTUD do Windows PowerShell, que faz parte do
mdulo ADRMSADMIN do Windows PowerShell, para adicionar um TUD.
Para exportar um TUD, execute as seguintes etapas:
1.

No console do Active Directory Rights Management Services, expanda Polticas de Confiana


e clique em Domnios de Usurio Confiveis.

2.

No painel Aes, clique em Exportar Domnio de Usurio Confivel.

3.

Salve o arquivo TUD com um nome descritivo.

Voc tambm pode usar o cmdlet Export-RmsTUD do Windows PowerShell para exportar um TUD
do servidor AD RMS.

Implementao de TPD
Voc pode usar TPD para configurar uma
relao de confiana entre duas implantaes
do AD RMS. Um TDP do AD RMS, que uma
implantao local do AD RMS pode conceder
licenas de usurio final para contedo publicado
usando a implantao do AD RMS do domnio de
publicao confivel. Por exemplo, a Contoso,
Ltd e a A. Datum Corporation so definidas
como parceiras de TPD. O TPD permite que
os usurios da implantao do AD RMS da
Contoso consumam o contedo publicado usando
a implantao do AD RMS da A. Datum, usando
licenas de usurio final concedidas pela implantao do AD RMS da Contoso.
Voc pode remover um TPD a qualquer momento. Quando voc fizer isso, os clientes da implantao
remota do AD RMS no podero emitir licenas de usurio final para acessar o contedo protegido
por seu cluster do AD RMS.
Durante a configurao de um TPD, voc importa o SLC de outro cluster do AD RMS. TPDs
so armazenados no formato .xml e protegidos por senhas.

Configurao de servios avanados do Windows Server 2012

7-25

Para exportar um TPD, execute as seguintes etapas:


1.

No console do Active Directory Rights Management Services, expanda Polticas de Confiana


e clique em Domnios de Publicao Confiveis.

2.

No painel Resultados, clique no certificado do domnio do AD RMS que voc deseja exportar
e, no painel Aes, clique em Exportar Domnio de Publicao Confivel.

3.

Escolha uma senha forte e um nome de arquivo para o TPD.

Durante a exportao de um TPD, voc poder salv-lo como um arquivo TPD compatvel com V1. Isso
permite que o TPD seja importado para organizaes que estejam usando clusters do AD RMS em verses
anteriores do sistema operacional Windows Server, como a verso disponvel no Windows Server 2003.
Voc tambm pode usar o cmdlet Export-RmsTPD do Windows PowerShell para exportar um TPD.
Para importar um TPD, execute as seguintes etapas:
1.

No console do Active Directory Rights Management Services, expanda Polticas de Confiana


e clique em Domnios de Publicao Confiveis.

2.

No painel Aes, clique em Importar Domnio de Publicao Confivel.

3.

Especifique o caminho do arquivo do Domnio de Publicao Confivel que voc deseja importar.

4.

Digite a senha para abrir o arquivo do Domnio de Publicao Confivel e digite um nome para
exibio que identifique o TPD.

Voc tambm pode usar o cmdlet Import-RmsTPD do Windows PowerShell para importar um TPD.
Leitura adicional: Para saber mais sobre como importar TPDs, consulte Adicionar
um domnio de publicao confivel em http://go.microsoft.com/fwlink/?LinkId=270033.

Compartilhamento de documentos protegidos pelo AD RMS usando


o Windows Live ID
Voc pode usar o Windows Live ID como
um mtodo de fornecer RACs a usurios
que no fazem parte de sua organizao.
Para confiar em RACs baseadas no
Windows Live ID, execute as seguintes etapas:
1.

No console do Active Directory Rights


Management Services, expanda Polticas
de Confiana e clique em Domnios
de Usurio Confiveis.

2.

No painel Aes, clique em Confiar


em Windows Live ID.

Para excluir domnios de email especficos do Windows Live ID, clique com o boto direito do mouse no
certificado do Windows Live ID, clique em Propriedades e clique na guia Windows Live IDs Excludos.
Voc pode digitar as contas Windows Live ID que deseja excluir da capacidade de obter RACs.

7-26 Implementao do Active Directory Rights Management Services

Para permitir que os usurios com contas Windows Live ID obtenham RACs de seu cluster do AD RMS,
voc precisa configurar o IIS para oferecer suporte ao acesso annimo. Para isso, execute estas etapas:
1.

No servidor do AD RMS, abra o console do Gerenciador do IIS.

2.

Navegue at n Sites\Default Web Site\_wmcs, clique no diretrio virtual Licenciamento


e clique em Alternar para Exibio de Contedo.

3.

Clique com o boto direito do mouse do mouse em license.asmx e clique em Alternar


para Exibio de Contedo.

4.

Clique duas vezes em Autenticao e habilite Autenticao Annima.

5.

Repita esta etapa para o arquivo ServiceLocator.asmx.

Leitura adicional: Para saber mais sobre como usar o Windows Live ID para estabelecer
RACs para usurios, consulte http://go.microsoft.com/fwlink/?LinkId=270034.

Consideraes para implementar o acesso de usurios externos ao AD RMS


O tipo de acesso externo que voc configura
depende dos tipos de usurios externos que
precisam acessar o contedo de sua organizao.
Quando voc estiver determinando qual mtodo
usar, considere as seguintes perguntas:

O usurio externo pertence a uma


organizao que tem uma implantao
existente do AD RMS?

A organizao do usurio externo tem


uma Confiana Federada existente com
a organizao interna?

A organizao do usurio externo estabeleceu uma relao com o Microsoft Federation Gateway?

O usurio externo precisa publicar contedo protegido pelo AD RMS que acessvel a titulares
de RAC internos?

possvel que as organizaes possam usar uma soluo antes de recorrer a outra. Por exemplo,
durante as fases iniciais, apenas um nmero pequeno de usurios externos pode exigir acesso ao
contedo protegido pelo AD RMS. Nesse caso, usar contas Windows Live ID para RACs pode ser
apropriado. Quando nmeros maiores de usurios externos de uma nica organizao exigem
acesso, uma soluo diferente pode ser apropriada. O benefcio financeiro que uma soluo
traz a uma organizao deve exceder o custo da implementao dessa soluo.

Configurao de servios avanados do Windows Server 2012

7-27

Laboratrio: Implementao do AD RMS


Cenrio
Devido natureza altamente confidencial da pesquisa realizada na A. Datum Corporation, a equipe de
segurana da A. Datum quer implementar segurana adicional para alguns dos documentos criados pelo
departamento de pesquisa. A preocupao da equipe de segurana que qualquer pessoa com acesso
de leitura aos documentos pode modificar e distribuir os documentos da maneira que pretender.
A equipe de segurana gostaria de fornecer um nvel adicional de proteo que permanea com
o documento mesmo que ela seja movido na rede ou para fora da rede.
Como um dos administradores de rede sniores da A. Datum, voc precisa planejar e implementar
uma soluo do AD RMS que fornea o nvel de proteo exigido pela equipe de segurana. A soluo
do AD RMS deve fornecer muitas opes diferentes que podem ser adaptadas para um ampla variedade
de requisitos comerciais e de segurana.

Objetivos

Instalar e configurar o AD RMS.

Configurar modelos do AD RMS.

Implementar polticas de confiana do AD RMS.

Verificar a implantao do AD RMS.

Configurao do laboratrio
Tempo previsto: 60 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
24412B-MUN-CL1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

Nome de Usurio: Adatum\Administrador

Senha: Pa$$w0rd

Repita a etapa 2 e 3 para 24412B-LON-SVR1, 24412B-MUN-DC1, 24412B-LON-CL1


e 24412B-MUN-CL1. No entre at receber instrues.

7-28 Implementao do Active Directory Rights Management Services

Exerccio 1: Instalao e configurao do AD RMS


Cenrio
A primeira etapa da implantao do AD RMS na A. Datum implantar um nico servidor em um cluster
do AD RMS. Voc comear configurando os registros DNS apropriados e a conta de servio do AD RMS,
depois continuar com a instalao e configurao do primeiro servidor AD RMS. Voc tambm habilitar
o grupo de superusurios do AD RMS.
As principais tarefas deste exerccio so:
1.

Configurar o DNS (Sistema de Nomes de Domnio) e a conta de servio Active Directory


Rights Management Services (AD RMS) .

2.

Instalar e configurar a funo de servidor AD RMS.

3.

Configurar o grupo de superusurios do AD RMS.

Tarefa 1: Configurar o DNS (Sistema de Nomes de Domnio) e a conta de servio


Active Directory Rights Management Services (AD RMS)
1.

Entre em LON-DC1 com a conta Adatum\Administrador e a senha Pa$$w0rd.

2.

Use a Central Administrativa do Active Directory para criar uma UO chamada Contas de Servio
no domnio adatum.com.

3.

Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o

Nome: ADRMSSVC

Logon UPN do usurio: ADRMSSVC

Senha: Pa$$w0rd

Confirmar senha: Pa$$w0rd

A senha nunca expira: Habilitado

O usurio no pode alterar a senha: Habilitado

4.

Crie um novo grupo de segurana global no continer Usurios chamado ADRMS_SuperUsers.


Defina o endereo de email desse grupo como ADRMS_SuperUsers@adatum.com.

5.

Crie um novo grupo de segurana global no continer Usurios chamado Executivos. Defina
o endereo de email desse grupo como executivos@adatum.com.

6.

Adicione as contas de usurio Aidan Delaney e Bill Malone ao grupo Executivos.

7.

Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o

Nome: adrms

Endereo IP: 172.16.0.21

Configurao de servios avanados do Windows Server 2012

Tarefa 2: Instalar e configurar a funo de servidor AD RMS


1.

Entre em LON-SVR1 com a conta Adatum\Administrador e a senha Pa$$w0rd.

2.

Use o Assistente de Adio de Funes e Recursos para adicionar a funo Active Directory Rights
Management Services a LON-SVR1 usando a seguinte opo:
o

Servios de funo: Active Directory Rights Management Services

3.

No n AD RMS do Gerenciador do Servidor, clique em Mais para iniciar a configurao


ps-implantao do AD RMS.

4.

No Assistente de Configurao do AD RMS, fornea as seguintes informaes:


o

Criar novo cluster AD RMS raiz

Usar o Banco de Dados Interno do Windows neste servidor

Conta de servio: Adatum\ADRMSSVC

Modo Criptogrfico: Modo Criptogrfico 2

Armazenamento de Chave do Cluster: Usar armazenamento de chave centralmente


gerenciada no AD RMS

Senha da Chave de Cluster: Pa$$w0rd

Site do Cluster: Default Web Site

Tipo de Conexo: Usar uma conexo descriptografada

Nome de Domnio Totalmente Qualificado: http://adrms.adatum.com

Porta: 80

Certificado de Licenciante: Adatum AD RMS

Registrar Ponto de Conexo do Servio AD RMS: Registrar o SCP Agora

5.

Use o console do Gerenciador do IIS (Servios de Informaes da Internet) para


habilitar a Autenticao Autnoma nos diretrios virtuais Default Web Site\_wmcs
e Default Web Site\_wmcs\licensing.

6.

Saia de LON-SVR1.

Observao: Voc deve sair antes de poder gerenciar o AD RMS. Este laboratrio usa a
porta 80 por convenincia. Em ambientes de produo, voc protegeria o AD RMS usando
uma conexo criptografada.

Tarefa 3: Configurar o grupo de superusurios do AD RMS


1.

Entre em LON-SVR1 com a conta Adatum\Administrador e a senha Pa$$w0rd.

2.

Abra o console do Active Directory Rights Management Services.

3.

No console do Active Directory Rights Management Services, habilite Superusurios.

4.

Defina o grupo ADRMS_SuperUsers@adatum.com como o grupo de superusurios.

Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o AD RMS.

7-29

7-30 Implementao do Active Directory Rights Management Services

Exerccio 2: Configurao de modelos do AD RMS


Cenrio
Depois de implantar o servidor AD RMS, agora voc deve configurar os modelos de poltica de direitos
e polticas de excluso para a organizao. Voc implantar ambos os componentes.
As principais tarefas deste exerccio so:
1.

Configurar um novo modelo de poltica de direitos.

2.

Configurar a distribuio do modelo de poltica de direitos.

3.

Configurar uma poltica de excluso.

Tarefa 1: Configurar um novo modelo de poltica de direitos

Em LON-SVR1, use o n Modelo de Poltica de Direitos do console do Active Directory Rights


Management Services para criar um modelo de poltica de direitos distribudos com as seguintes
propriedades:
o

Idioma: Portugus (Brasil)

Nome: ReadOnly

Descrio: Acesso somente leitura. Sem cpia ou impresso

Usurios e direitos: executivos@adatum.com

Direitos para todos: Exibio

Conceder ao proprietrio (autor) o direito ininterrupto de controle total

Expirao do Contedo: 7 dias

Expirao da licena de uso: 7 dias

Solicitar uma nova licena de uso: sempre que o contedo for consumido (desabilitar cache
no lado do cliente)

Tarefa 2: Configurar a distribuio do modelo de poltica de direitos


1.

Em LON-SVR1, abra um prompt do Windows PowerShell e lance os seguintes comandos,


pressionando Enter depois de cada um deles:
New-Item c:\rmstemplates -ItemType Directory
New-SmbShare -Name RMSTEMPLATES -Path c:\rmstemplates -FullAccess ADATUM\ADRMSSVC
New-Item c:\docshare -ItemType Directory
New-SmbShare -Name docshare -Path c:\docshare -FullAccess Todos

2.

No console do Active Directory Rights Management Services, defina o local do arquivo Modelos
de Poltica de Direitos como \\LON-SVR1\RMSTEMPLATES.

3.

No Explorador de Arquivos, abra a pasta c:\rmstemplates. Verifique se o modelo ReadOnly.xml


est presente.

Configurao de servios avanados do Windows Server 2012

7-31

Tarefa 3: Configurar uma poltica de excluso


1.

No console do Active Directory Rights Management Services, habilite Excluso de aplicativo.

2.

Na caixa de dilogo Excluir Aplicativo, digite as seguintes informaes:


o

Nome de arquivo do aplicativo: Powerpnt.exe

Verso mnima: 14.0.0.0

Verso mxima: 16.0.0.0

Resultados: Depois de concluir este exerccio, voc ter configurado modelos do AD RMS.

Exerccio 3: Implementao de polticas de confiana do AD RMS


Cenrio
Como parte da implantao do AD RMS, voc precisa garantir que a funcionalidade do AD RMS seja
estendida implantao do AD RMS da Trey Research. Voc configurar as polticas de confiana
necessrias e depois validar que pode compartilhar contedo protegido entre as duas organizaes.
As principais tarefas deste exerccio so:
1.

Exportar a poltica Domnios de Usurio Confiveis.

2.

Exportar a poltica Domnios de Publicao Confiveis.

3.

Importar a poltica Domnio de Usurio Confivel do domnio de parceiro.

4.

Importar a poltica Domnios de Publicao Confiveis do domnio de parceiro.

Tarefa 1: Exportar a poltica Domnios de Usurio Confiveis


1.

Em LON-SVR1, abra um prompt do Windows PowerShell e lance os seguintes comandos,


pressionando Enter depois de cada um deles:
New-Item c:\export -ItemType Directory
New-SmbShare -Name Export -Path c:\export -FullAccess Todos

2.

Use o console do Active Directory Rights Management Services para exportar a poltica TUD
para o compartilhamento \\LON-SVR1\export como ADATUM-TUD.bin.

3.

Entre em MUN-DC1 com a conta TREYRESEARCH\Administrador e a senha Pa$$w0rd.

4.

Em MUN-DC1, abra o console do Active Directory Rights Management Services.

5.

Exporte a poltica Domnio de Usurio Confivel para o compartilhamento \\LON-SVR1\export


como TREYRESEARCH-TUD.bin.

6.

Em MUN-DC1, abra um prompt do Windows PowerShell e emita o seguinte comando


e pressione Enter:
Add-DnsServerConditionalForwarderZone -MasterServers 172.16.0.10 -Name adatum.com

7-32 Implementao do Active Directory Rights Management Services

Tarefa 2: Exportar a poltica Domnios de Publicao Confiveis


1.

Alterne para LON-SVR1.

2.

Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como ADATUM-TPD.xml. Proteja esse arquivo usando
a senha Pa$$w0rd.

3.

Alterne para MUN-DC1.

4.

Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como TREYRESEARCH-TPD.xml. Proteja esse arquivo
usando a senha Pa$$w0rd.

Tarefa 3: Importar a poltica Domnio de Usurio Confivel do domnio de parceiro


1.

Alterne para LON-SVR1.

2.

Importe a poltica TUD para a Trey Research importando o arquivo


\\LON-SVR1\export\treyresearch-tud.bin. Use o nome para exibio TreyResearch.

3.

Alterne para MUN-DC1.

4.

Importe a poltica TUD para a Trey Research importando o arquivo


\\LON-SVR1\export\adatum-tud.bin. Use o nome para exibio Adatum.

Tarefa 4: Importar a poltica Domnios de Publicao Confiveis do domnio


de parceiro
1.

Alterne para LON-SVR1.

2.

Importe o TPD da Trey Research importando o arquivo \\LON-SVR1\export\treyresearch-tpd.xml,


usando a senha Pa$$w0rd e o nome para exibio Trey Research.

3.

Alterne para MUN-SVR1.

4.

Importe o Domnio de Publicao Confivel da Adatum importando o arquivo \\LON-SVR1\export\


adatum-tpd.xml, usando a senha Pa$$w0rd e o nome para exibio Adatum.

Resultados: Depois de concluir este exerccio, voc ter implementado as polticas de confiana
do AD RMS.

Exerccio 4: Verificao da implantao do AD RMS


Cenrio
Como etapa final na implantao, voc validar se a configurao est funcionando corretamente.
As principais tarefas deste exerccio so:
1.

Criar um documento protegido por direitos.

2.

Verificar o acesso interno ao contedo protegido.

3.

Abrir o documento protegido por direitos como usurio no autorizado.

4.

Abrir e editar o documento protegido por direitos como usurio autorizado na Trey Research.

Configurao de servios avanados do Windows Server 2012

7-33

Tarefa 1: Criar um documento protegido por direitos


1.

Entre em LON-CL1 com a conta Adatum\Aidan e a senha Pa$$w0rd.

2.

Abra o Microsoft Word 2010.

3.

Crie um documento chamado Somente Executivos.

4.

No documento, digite o seguinte texto:


Este documento somente para executivos, no deve ser modificado.

5.

No item Permisses, opte por restringir acesso. Conceda a bill@adatum.com a permisso


para ler o documento.

6.

Salve o documento no compartilhamento \\lon-svr1\docshare.

7.

Saia de LON-CL1.

Tarefa 2: Verificar o acesso interno ao contedo protegido


1.

Entre em LON-CL1 com a conta Adatum\Bill usando a senha Pa$$w0rd.

2.

Na pasta \\lon-svr1\docshare, abra o documento Somente Executivos.

3.

Quando solicitado, fornea as credenciais Adatum\Bill com a senha Pa$$w0rd.

4.

Verifique que voc no pode modificar nem salvar o documento.

5.

Selecione uma linha de texto no documento.

6.

Clique com o boto direito do mouse do mouse na linha de texto. Verifique que voc no
pode modificar esse texto.

7.

Veja as permisses do documento.

8.

Saia de LON-CL1.

Tarefa 3: Abrir o documento protegido por direitos como usurio no autorizado


1.

Entre em LON-CL1 como Adatum\Carol usando a senha Pa$$w0rd.

2.

Na pasta \\lon-svr1\docshare, tente abrir o documento Somente Executivos.

3.

Verifique que a Carol no tem permisso para abrir o documento.

4.

Saia de LON-CL1.

Tarefa 4: Abrir e editar o documento protegido por direitos como usurio autorizado
na Trey Research
1.

Entre em LON-CL1 com a conta Adatum\Aidan usando a senha Pa$$w0rd.

2.

Abra o Microsoft Word 2010.

3.

Crie um novo documento chamado \\LON-SVR1\docshare\TreyResearch-Confidential.docx.

4.

No documento, digite o seguinte texto:


Este documento somente para a Trey Research, no deve ser modificado.

5.

Restrinja a permisso de forma que april@treyresearch.net possa abrir o documento.

6.

Entre em MUN-CL1 como TREYRESEARCH\April com a senha Pa$$w0rd.

7.

Use o Explorador de Arquivos para navegar at \\LON-SVR1\docshare. Use as credenciais


Adatum\Administrador e Pa$$w0rd para se conectar.

7-34 Implementao do Active Directory Rights Management Services

8.

Copie o documento TreyReserch-Confidential.docx na rea de trabalho.

9.

Tente abrir o documento. Quando solicitado, digite as credenciais a seguir, marque a caixa
de seleo Lembrar minhas credenciais e clique em OK:
o

Nome de Usurio: April

Senha: Pa$$w0rd

10. Verifique que voc pode abrir o documento, mas no pode fazer modificaes nele.
11. Veja as permisses que a conta april@treyresearch.com tem para o documento.

Resultados: Depois de concluir este exerccio, voc ter verificado que a implantao do AD RMS
foi bem-sucedida.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1


e clique em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-MUN-DC1, 24412B-LON-CL1


e 24412B-MUN-CL1.

Configurao de servios avanados do Windows Server 2012

7-35

Reviso e informaes complementares do mdulo


Perguntas de reviso
Pergunta: Quais so os benefcios de ter um certificado SSL instalado no servidor AD RMS
quando voc est executando a configurao do AD RMS?
Pergunta: Voc precisa fornecer acesso ao contedo protegido pelo AD RMS
a cinco usurios que so prestadores de servios no afiliados e no so membros
de sua organizao. Qual mtodo voc deve usar para fornecer esse acesso?
Pergunta: Voc deseja impedir que os usurios protejam o contedo do Office PowerPoint
usando modelos do AD RMS. Que etapas voc deve executar para alcanar esse objetivo?

Prtica recomendada:

Antes de implantar o AD RMS, voc deve analisar os requisitos comerciais de sua organizao e criar
os modelos necessrios. Voc deve se reunir com os usurios para inform-los da funcionalidade
do AD RMS e tambm solicitar comentrios sobre os tipos de modelos que eles gostariam de ter
disposio.

Controle estritamente a associao do grupo Superusurios. Os usurios desse grupo podem acessar
todo o contedo protegido. Conceder a associao desse grupo ao usurio d a ele completo acesso
a todo o contedo protegido pelo AD RMS.

8-1

Mdulo 8
Implementao dos Servios de Federao
do Active Directory
Contedo:
Viso geral do mdulo

8-1

Lio 1: Viso geral do AD FS

8-2

Lio 2: Implantao do AD FS

8-12

Lio 3: Implementao do AD FS para uma nica organizao

8-20

Lio 4: Implantao do AD FS em um cenrio de federao B2B

8-27

Laboratrio: Implementao dos Servios de Federao do Active Directory

8-34

Reviso e informaes complementares do mdulo

8-44

Viso geral do mdulo


Os Servios de Federao do Active Directory (AD FS) no Windows Server 2012 oferecem flexibilidade
para as organizaes que desejam permitir que seus usurios faam logon em aplicativos que podem
estar localizados na rede local, em uma empresa parceira ou em um servio online. Com o AD FS, uma
organizao pode gerenciar suas prprias contas de usurio e os usurios precisam lembrar apenas
de um conjunto de credenciais. Porm, essas credenciais podem ser usadas para fornecer acesso
a uma variedade de aplicativos que podem estar localizados em diversos locais.
Este mdulo apresenta uma viso geral do AD FS e detalha como configurar o AD FS em um cenrio
de organizao nica e em um cenrio de organizao do parceiro.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever o AD FS.

Explicar como configurar os pr-requisitos do AD FS e implantar seus servios.

Descrever como implementar o AD FS para uma nica organizao.

Implantar o AD FS em um cenrio de federao B2B.

8-2

Implementao dos Servios de Federao do Active Directory

Lio 1

Viso geral do AD FS
AD FS a implementao da Microsoft de uma estrutura de federao de identidade que permite que as
organizaes estabeleam relaes de confiana de federao e compartilhem recursos dentro dos limites
organizacionais e dos Servios de Domnio Active Directory (AD DS). O AD FS compatvel com padres
de servios Web comuns, para habilitar a interoperabilidade com solues de federao de identidade
oferecidas por outros fornecedores.
O AD FS foi projetado para abordar vrios cenrios comerciais, nos quais os mecanismos de autenticao
tpicos usados em uma organizao nica no funcionam. Esta lio apresenta uma viso geral dos
conceitos e padres implementados no AD FS e tambm os cenrios comerciais que podem ser
abordados com o AD FS.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever a federao de identidade.

Descrever a identidade baseada em declaraes.

Descrever servios Web.

Descrever o AD FS.

Explicar como o AD FS permite logon nico (SSO) dentro de uma organizao nica.

Explicar como o AD FS permite SSO entre parceiros comerciais.

Explicar como o AD FS permite SSO entre servios locais e baseados na nuvem.

O que Federao de Identidade?


A federao de identidade permite a distribuio
de identificao, autenticao e autorizao
dentro dos limites organizacionais e de
plataforma. Voc pode implementar a federao
de identidade dentro de uma organizao nica
para permitir o acesso a aplicativos Web diversos
ou entre duas organizaes que tm uma relao
de confiana entre elas.
Para estabelecer uma parceria de federao de
identidade, ambos os parceiros concordam em
criar uma relao de confiana federada. Essa
confiana federada se baseia em uma relao
comercial contnua e permite que as organizaes implementem processos comerciais identificados
na relao comercial.
Observao: Uma relao de confiana federada no igual a uma relao de confiana
de floresta que organizaes podem configurar entre florestas do AD DS. Em uma relao de
confiana federada, os servidores AD DS em duas organizaes nunca tm que se comunicar
diretamente. Alm disso, toda a comunicao em uma implantao de federao ocorre sobre
HTTP, portanto, voc no precisa abrir vrias portas em algum firewall para habilitar a federao.

Configurao de servios avanados do Windows Server 2012

8-3

Como parte da relao de confiana federada, cada parceiro define quais recursos esto acessveis
outra organizao e como o acesso aos recursos habilitado. Por exemplo, para atualizar uma previso
de vendas, um representante de vendas talvez precise coletar informaes do banco de dados de um
fornecedor hospedado na rede do fornecedor. O administrador do domnio para o representante de
vendas responsvel por assegurar que os representantes de vendas apropriados sejam membros do
grupo que requer acesso ao banco de dados do fornecedor. O administrador da organizao onde o
banco de dados est localizado responsvel por assegurar que os funcionrios do parceiro tenham
acesso apenas aos dados de que necessitam.
Em uma soluo de federao de identidade, as identidades de usurio e suas credenciais associadas
so armazenadas, pertencentes e gerenciadas pela organizao onde o usurio est localizado. Como
parte da relao de confiana de federao de identidade, cada organizao define tambm como as
identidades de usurio so compartilhadas com segurana para restringir o acesso aos recursos. Cada
parceiro deve definir os servios que torna disponveis para parceiros e clientes confiveis e em quais
outras organizaes e usurios confia. Cada parceiro tambm deve definir que tipos de credenciais e
solicitaes aceita e suas polticas de privacidade para assegurar que informaes privadas no fiquem
acessveis na relao de confiana.
Voc tambm pode usar a federao de identidade dentro de uma organizao nica. Por exemplo,
uma organizao pode planejar implantar vrios aplicativos baseados na Web que requerem
autenticao. Usando o AD FS, a organizao pode implementar uma soluo de autenticao para
todos os aplicativos, facilitando o acesso ao aplicativo para os usurios em vrios domnios internos ou
florestas. Voc tambm pode estender a soluo a parceiros externos no futuro, sem alterar o aplicativo.

O que a identidade baseada em declaraes?


A autenticao baseada em declaraes foi
criada para abordar problemas por meio da
extenso dos mecanismos tpicos de autenticao
e autorizao fora dos limites associados a
esses mecanismos. Por exemplo, na maioria das
organizaes, quando os usurios fazem logon
na rede, eles so autenticados por um controlador
de domnio do AD DS. Um usurio que fornece
as credenciais certas ao controlador de domnio
recebe um token de segurana. Os aplicativos
em execuo em servidores no mesmo ambiente
do AD DS confiam nos tokens de segurana
fornecidos pelos controladores de domnio do AD DS, pois os servidores podem se comunicar com
os mesmos controladores de domnio em que os usurios foram autenticados.
O problema com esse tipo de autenticao que ela no se estende facilmente para fora dos limites da
floresta do AD DS. Embora seja possvel implementar a autenticao Kerberos ou relaes de confiana
baseadas em NTLM entre duas florestas do AD DS, os computadores cliente e os controladores de
domnio em ambos os lados da relao de confiana devem se comunicar com os controladores de
domnio na outra floresta para tomar decises sobre autenticao e autorizao. Essa comunicao
requer trfego de rede que enviado em vrias portas, portanto, essas portas devem estar abertas
em todos os firewalls entre os controladores de domnio e outros computadores. O problema fica
ainda mais complicado quando os usurios tm acesso a recursos hospedados em sistemas baseados
na nuvem, como o Windows Azure ou o Microsoft Office 365.

8-4

Implementao dos Servios de Federao do Active Directory

A autenticao baseada em declaraes fornece um mecanismo para separar a autenticao de usurio


e a autorizao de aplicativos individuais. Com a autenticao baseada em declaraes, os usurios
podem se autenticar em um servio de diretrio localizado dentro de sua organizao e podem receber
uma declarao baseada nessa autenticao. A declarao pode ser apresentada a um aplicativo que
esteja em execuo em uma organizao diferente. O aplicativo criado para permitir o acesso do
usurio s informaes ou recursos, com base nas declaraes apresentadas. Toda a comunicao
tambm ocorre sobre HTTP.
A declarao usada na autenticao baseada em declaraes uma instruo sobre um usurio definido
em uma organizao ou tecnologia e na qual outra organizao ou tecnologia confia. A declarao
pode incluir vrias informaes. Por exemplo, a declarao pode definir o endereo de email do usurio,
o nome UPN e informaes sobre grupos especficos aos quais o usurio pertence. Essas informaes
so coletadas do mecanismo de autenticao quando o usurio autenticado com xito.
A organizao que gerencia o aplicativo define quais tipos de declaraes sero aceitados pelo aplicativo.
Por exemplo, o aplicativo pode exigir o endereo de email do usurio para verificar a identidade
do usurio e, em seguida, pode usar a associao de grupo apresentada dentro da declarao
para determinar qual nvel de acesso o usurio deve ter dentro do aplicativo.

Viso geral de servios Web


Para que a autenticao baseada em
declaraes funcione, as organizaes
precisam concordar com o formato de
troca de declaraes. Em vez de cada
empresa definir esse formato, um conjunto
de especificaes identificado amplamente
como servios web foi desenvolvido. Qualquer
organizao interessada em implementar uma
soluo de identidade federada pode usar esse
conjunto de especificaes.
Os servios Web so um conjunto
de especificaes usadas para criar aplicativos
e servios conectados, cuja funcionalidade e as interfaces so expostas a usurios potenciais por meio de
padres de tecnologia da Web, como XML, SOAP, WSDL (Web Services Description Language) e HTTP(S).
O objetivo de criar aplicativos Web usando servios Web simplificar a interoperabilidade para aplicativos
em vrias plataformas de desenvolvimento, tecnologias e redes.
Para aprimorar a interoperabilidade, os servios Web so definidos por um conjunto de padres do setor.
Os servios Web se baseiam nos padres seguintes:

A maioria dos servios Web usa o XML para transmitir dados por HTTP(S). Com o XML, os
desenvolvedores podem criar suas prprias marcas personalizadas, facilitando a definio,
a transmisso, a validao e a interpretao de dados entre aplicativos e entre organizaes.

Os servios Web expem funcionalidade til a usurios da Web por meio de um protocolo da
Web padro. Na maioria dos casos, o protocolo usado o SOAP, que o protocolo de comunicao
para servios Web XML. O SOAP uma especificao que define o formato XML para mensagens
e, basicamente, descreve a aparncia de um documento XML vlido.

Configurao de servios avanados do Windows Server 2012

Os servios Web oferecem um modo de descrever as interfaces detalhadamente para permitir


que um usurio compile um aplicativo cliente para se comunicar com o servio. Essa descrio
normalmente fornecida em um documento XML chamado documento WSDL. Em outras
palavras, um arquivo WSDL um documento XML que descreve um conjunto de mensagens
SOAP e como as mensagens so trocadas.

Os servios Web so registrados de forma que usurios potenciais possam localiz-los facilmente.
Isso feito com UDDI. Uma entrada de diretrio UDDI um arquivo XML que descreve uma
empresa e os servios que ela oferece.

8-5

Especificaes de segurana WS*


As especificaes de servios Web (tambm conhecidas como especificaes WS-*) tm muitos
componentes. Porm, as especificaes mais pertinentes para um ambiente AD FS so as especificaes
de WS-Security. As especificaes que fazem parte das especificaes de WS-Security incluem as
seguintes:

WS-Security - Segurana de Mensagem SOAP e Perfil de Token de Certificado X.509. A Segurana


WS descreve os aprimoramentos s mensagens SOAP. Esses aprimoramentos fornecem integridade
de mensagem, confidencialidade de mensagem e autenticao de mensagem nica. A WS-Security
tambm oferece um mecanismo geral,embora extensvelpara associao de tokens de segurana
a mensagens e um mecanismo para codificar tokens de segurana binriosespecificamente
certificados X.509 e tquetes Kerberosem mensagens SOAP.

WS-Trust. O WS-Trust define as extenses criadas com base no WS-Security para solicitar e emitir
tokens de segurana e gerenciar relaes de confiana.

WS-Federation. O WS-Federation define mecanismos que o WS-Security pode usar para habilitar
a identidade baseada em atributo, a autenticao e a federao de autorizao em realms
de confiana diferentes.

Perfil de solicitante passivo de WS-Federation. Essa extenso do WS-Security descreve como clientes
passivos, como navegadores da Web, podem adquirir tokens de um servidor de Federao e como
os clientes podem enviar tokens a um servidor de Federao. Os solicitantes passivos desse perfil
so limitados ao protocolo HTTP ou HTTPS.

Perfil de solicitante ativo de WS-Federation. Essa extenso do WS-Security descreve como


os clientes ativos, como aplicativos de dispositivos mveis baseados em SOAP, podem ser
autenticados e autorizados e como os clientes podem enviar declaraes em um cenrio
de federao.

SAML (Security Assertion Markup Language)


O SAML (Security Assertion Markup Language) um padro baseado em XML para a troca de declaraes
entre um provedor de identidade e um provedor de servio ou aplicativo. O SAML pressupe que um
usurio foi autenticado por um provedor de identidade e que o provedor de identidade preencheu
as informaes de declarao apropriadas no token de segurana. Quando o usurio autenticado,
o provedor de identidade transmite uma assero de SAML ao provedor de servios. Com base nesta
assero, o provedor de servios pode tomar decises de autorizao e personalizao dentro de
um aplicativo. A comunicao entre servidores de federao se baseia em um documento XML
que armazena o certificado X.509 para assinatura de token e o token SAML 1.1 ou SAML 2.0.

8-6

Implementao dos Servios de Federao do Active Directory

O que o AD FS?
AD FS a implementao da Microsoft de uma
soluo de federao de identidade que usa
autenticao baseada em declaraes. O AD FS
fornece os mecanismos para implementar tanto os
componentes do provedor de identidade quanto
do provedor de servios em uma implantao de
federao de identidade.
O AD FS oferece os seguintes recursos:

Provedor de declaraes corporativo para


aplicativos baseados em declaraes. Voc
pode configurar um servidor AD FS como
um provedor de declaraes, o que significa
que pode emitir declaraes sobre usurios autenticados. Isso permite a uma organizao fornecer
a seus usurios acesso para aplicativos com reconhecimento de declaraes em outra organizao
usando SSO.

Provedor de Servio de Federao para federao de identidade entre domnios. Esse servio oferece
SSO da Web federado entre domnios, aprimorando a segurana e reduzindo a sobrecarga para
administradores e TI.

Observao: A verso do Windows Server 2012 do AD FS foi criada com base no AD FS


verso 2.0, que a segunda gerao do AD FS lanada pela Microsoft. A primeira verso, AD FS
1.0, exigia a instalao de agentes da Web AD FS em todos os servidores Web que usavam AD FS
e fornecia tanto a autenticao com reconhecimento de declaraes quanto baseada em token
NT. O AD FS 1.0 no oferecia suporte a clientes ativos, mas oferecia suporte a tokens SAML.

Recursos do AD FS
Alguns dos recursos chave do AD FS so mostrados a seguir:

SSO da Web. Muitas organizaes implantaram o AD FS. Aps a autenticao para o AD DS por
meio da autenticao Integrada do Windows, os usurios podem acessar todos os outros recursos
que tm permisso para acessar dentro dos limites da floresta do AD DS. O AD FS estende esse
recurso para aplicativos voltados para intranet ou Internet, permitindo que os clientes, os parceiros
e os fornecedores tenham uma experincia de usurio semelhante e simplificada quando acessam
os aplicativos Web de uma organizao.

Interoperabilidade de servios Web. O AD FS compatvel com as especificaes de servios


Web. O AD FS emprega a especificao de federao de WS-*, denominada WS-Federation.
O WS-Federation permite que os ambientes que no usam o modelo de identidade do
Windows realizem a federao com ambientes do Windows.

Configurao de servios avanados do Windows Server 2012

8-7

Suporte a cliente passivo e inteligente. Como o AD FS se baseia na arquitetura WS-*, ele oferece
suporte a comunicaes federadas entre qualquer ponto de extremidade habilitado para WS,
incluindo comunicaes entre servidores e clientes passivos, como navegadores. O AD FS no
Windows Server 2012 tambm permite o acesso para clientes inteligentes baseados no SOAP,
como servidores, celulares, PDAs (assistentes pessoais digitais) e aplicativos de rea de trabalho.
O AD FS implementa o Perfil de Solicitante Passivo de WS-Federation e alguns dos padres
do Perfil de Solicitante Ativo de WS-Federation para suporte ao cliente.

Arquitetura extensvel. O AD FS fornece uma arquitetura extensvel que oferece suporte a vrios
tipos de token de segurana, inclusive tokens SAML e autenticao Kerberos pela autenticao
Integrada do Windows e a capacidade para executar transformaes de declaraes personalizadas.
Por exemplo, o AD FS pode converter de um tipo de token em outro ou adicionar lgica corporativa
personalizada como uma varivel em uma solicitao de acesso. As organizaes podem usar esta
extensibilidade para modificar o AD FS para coexistir com a infraestrutura de segurana atual
e polticas comerciais.

Maior segurana. O AD FS ajuda aumentar a segurana de solues federadas delegando a


responsabilidade do gerenciamento de conta organizao mais prxima do usurio. Cada
organizao individual em uma federao continua gerenciando suas prprias identidades e
capaz de compartilhar com segurana e aceitar identidades e credenciais de outras origens
de membros.

Leitura adicional: Para obter informaes sobre os produtos de federao de identidade


diferentes que podem interoperar com o AD FS e guias passo a passo sobre como configurar
os produtos consulte os Guias Passo a Passo e de Instrues do AD FS 2.0, localizados em
http://go.microsoft.com/fwlink/?LinkId=270035.

Novos recursos no Windows Server 2012 AD FS


A verso do AD FS fornecida com o Windows Server 2012 inclui vrios novos recursos:

Integrao com o sistema operacional Windows Server 2012. No Windows Server 2012, o AD FS
foi includo como uma funo de servidor que voc pode instalar usando o Gerenciador do Servidor.
Quando voc instalar a funo de servidor, todos os componentes necessrios do sistema operacional
sero instalados automaticamente.

Integrao com Controle de Acesso Dinmico. Quando voc implantar o Controle de Acesso
Dinmico, poder configurar as declaraes de usurio e dispositivo emitidas por meio de
controladores de domnio AD FS. O AD FS pode consumir declaraes do AD DS emitidas pelos
controladores de domnio. Isso significa que o AD FS pode tomar decises de autorizao com
base nas contas de usurio e contas de computador.

Cmdlets do Windows PowerShell para administrao do AD FS. O Windows Server 2012 fornece
vrios novos cmdlets do Windows PowerShell que voc pode usar para instalar e configurar
a funo de servidor AD FS.

8-8

Implementao dos Servios de Federao do Active Directory

Como o AD FS habilita o SSO em uma organizao nica


Para muitas organizaes, configurar o acesso
a aplicativos e servios talvez no exija uma
implantao do AD FS. Se todos os usurios
forem membros da mesma floresta do AD DS
e se todos os aplicativos estiverem em execuo
em servidores que forem membros da mesma
floresta, normalmente voc poder usar a
autenticao do AD DS para fornecer acesso
ao aplicativo. Porm, h vrios cenrios onde
voc pode usar o AD FS para melhorar a
experincia de usurio habilitando SSO:

Os aplicativos talvez no estejam em


execuo em servidores do Windows ou em qualquer servidor que oferea suporte autenticao do
AD FS ou em servidores do Windows Server que no tenham ingressado no domnio. Os aplicativos
podem exigir SAML ou servios Web para autenticao e autorizao.

Organizaes grandes frequentemente tm vrios domnios e florestas que podem ser os resultados
de fuses e aquisies ou podem se dever a requisitos de segurana. Os usurios em vrias florestas
podem requerer acesso aos mesmos aplicativos.

Os usurios de fora do escritrio talvez precisem de acesso a aplicativos que esto sendo executados
em servidores internos. Os usurios externos talvez estejam fazendo logon nos aplicativos de
computadores que no fazem parte do domnio interno.

Observao: A implementao do AD FS no significa necessariamente que os usurios


no recebem uma solicitao de autenticao quando acessam aplicativos. Dependendo do
cenrio, os usurios podero receber uma solicitao para fornecer suas credenciais. Porm,
os usurios sempre so autenticados com suas credenciais internas no domnio de conta
confivel e nunca precisam se lembrar de credenciais alternativas para o aplicativo. Alm
disso, as credenciais internas nunca so apresentadas para o aplicativo ou para o servidor
AD FS do parceiro.
As organizaes podem usar o AD FS para habilitar SSO nesses cenrios. Como todos os usurios
e o aplicativo esto na mesma floresta do AD DS, a organizao s tem que implantar um nico
servidor de federao. Esse servidor pode operar como o provedor de declaraes para autenticar
solicitaes de usurio e emitir as declaraes. O mesmo servidor tambm a terceira parte
confivel ou o consumidor das declaraes para fornecer autorizao para acesso de aplicativo.
Observao: O slide e a descrio a seguir usam os termos Servio de Federao e Proxy
do Servio de Federao para descrever os servios de funo do AD FS. O servidor de federao
responsvel por emitir declaraes e, neste cenrio, tambm responsvel por consumir as
declaraes. O Proxy do Servio de Federao um componente de proxy recomendado para
implantaes nas quais os usurios fora da rede precisam acessar o ambiente do AD FS. Esses
componentes sero abordados com mais detalhes na prxima lio.

Configurao de servios avanados do Windows Server 2012

8-9

As etapas a seguir descrevem o fluxo de comunicao neste cenrio.


1.

O computador cliente, localizado fora da rede, deve acessar um aplicativo baseado na Web
no servidor Web. O computador cliente envia uma solicitao de HTTPS ao servidor Web.

2.

O servidor Web recebe a solicitao e identifica se o computador cliente no tem uma declarao.
O servidor Web redireciona o computador cliente ao Proxy do Servio de Federao.

3.

O computador cliente envia uma solicitao de HTTPS ao Proxy do Servio de Federao.


Dependendo do cenrio, o Proxy do Servio de Federao pode solicitar a autenticao do
usurio ou utilizar a autenticao Integrada do Windows para coletar as credenciais do usurio.

4.

O Proxy do Servio de Federao transmite a solicitao e as credenciais ao servidor de federao.

5.

O servidor de federao usa o AD DS para autenticar o usurio.

6.

Se autenticao for bem-sucedida, o servidor de federao coletar informaes do AD DS sobre


o usurio, que sero usadas para gerar as declaraes do usurio.

7.

Se a autenticao for bem-sucedida, as informaes sobre autenticao e outras informaes


sero coletadas em um token de segurana e transmitidas de volta ao computador cliente,
por meio do Proxy do Servio de Federao.

8.

Em seguida, o cliente apresenta o token ao servidor Web. O recurso da Web recebe a solicitao,
valida os tokens assinados e usa as declaraes no token do usurio para fornecer acesso
ao aplicativo.

Como o AD FS habilita o SSO em uma federao B2B


Um dos cenrios mais comuns para implantar
o AD FS fornecer SSO em uma federao B2B.
No cenrio, a organizao que requer acesso
ao aplicativo de outra organizao ou servio
pode gerenciar as prprias contas de usurio
e definir os prprios mecanismos de autenticao.
A outra organizao pode definir quais
aplicativos e servios so expostos aos usurios
fora da organizao e quais declaraes aceita
para fornecer acesso a esses aplicativos e servios.
Para permitir o compartilhamento de aplicativos
ou servios neste cenrio, as organizaes tm
que estabelecer uma relao de confiana de federao e depois definir as regras para trocar declaraes
entre as duas organizaes.
O slide para este tpico demonstra o fluxo de trfego em um cenrio de B2B federado que usa um
aplicativo da Web com reconhecimento de declaraes. Neste cenrio, os usurios na Trey Research
tm que acessar um aplicativo baseado na Web na A. Datum Corporation. O processo de autenticao
do AD FS para este cenrio o seguinte:
1.

Um usurio na Trey Research usa um navegador da Web para estabelecer uma conexo HTTPS
com o servidor Web na A. Datum Corporation.

2.

O aplicativo Web recebe a solicitao e verifica se o usurio no tem um token vlido armazenado
em um cookie pelo navegador Web. Como o usurio no foi autenticado, o aplicativo Web
redireciona o cliente ao servidor de federao na A. Datum (usando uma mensagem de
redirecionamento HTTP 302).

8-10 Implementao dos Servios de Federao do Active Directory

3.

O computador cliente envia uma solicitao de HTTPS ao servidor de federao da


A. Datum Corporation. O servidor de federao determina o realm inicial para o usurio.
Nesse caso, o realm inicial Trey Research.

4.

O computador cliente redirecionado novamente ao servidor de federao no realm inicial


do usurio, Trey Research.

5.

O computador cliente envia uma solicitao de HTTPS ao servidor de federao de Trey Research.

6.

Se o usurio j for feito logon no domnio, o servidor de federao poder usar o tquete de
autenticao Kerberos do usurio para solicitar autenticao do AD DS em nome do usurio,
usando a autenticao Integrada do Windows. Se o usurio no tiver feito logon no domnio,
ele receber uma solicitao para informar suas credenciais.

7.

O controlador de domnio do AD DS autentica o usurio e manda de volta a mensagem de xito


ao servidor de federao, junto com outras informaes sobre o usurio que podem ser utilizadas
para gerar as declaraes do usurio.

8.

O servidor de federao cria a declarao para o usurio com base nas regras definidas para o
parceiro de federao. Os dados de declaraes so colocados em um token de segurana assinado
digitalmente e enviados ao computador cliente que os publica novamente no servidor de federao
da A. Datum Corporation.

9.

O servidor de federao da A. Datum Corporation valida se o token de segurana veio de um


parceiro de federao confivel.

10. O servidor de federao da A. Datum Corporation cria e assina um novo token que, em seguida,
envia ao computador cliente e que por sua vez manda de volta o token URL original solicitada.
11. O aplicativo no servidor Web recebe a solicitao e valida os tokens assinados. O servidor Web emite
para o cliente um cookie de sesso que indica que foi autenticado com xito e um cookie persistente
baseado em arquivo emitido pelo servidor de federao (bom durante 30 dias por padro) para
eliminar a etapa de descoberta de realm inicial durante a vida til do cookie. Em seguida, o servidor
fornece acesso ento ao aplicativo, com base nas declaraes fornecidas pelo usurio.

Como o AD FS habilita o SSO com servios online


medida que as organizaes movem
servios e aplicativos para servios baseados
na nuvem, cada vez mais importante que essas
organizaes tenham algum modo de simplificar
a experincia de autenticao e experincia para
seus usurios durante o consumo dos servios
baseados na nuvem. Os servios baseados na
nuvem adicionam outro nvel de complexidade
ao ambiente de ti, pois esto localizados
fora do controle administrativo direto dos
administradores de TI e podem estar em
execuo em muitas plataformas diferentes.
Voc pode usar o AD FS para fornecer uma experincia de SSO aos usurios nas vrias
plataformas baseadas na nuvem que esto disponveis. Por exemplo, aps a autenticao dos
usurios com credenciais do AD DS, eles poderiam acessar os Microsoft Online Services, como
Microsoft Exchange Online ou SharePoint Online hospedado, usando essas credenciais de domnio.

Configurao de servios avanados do Windows Server 2012

8-11

O AD FS tambm pode fornecer SSO para provedores de nuvem no Microsoft. Como o AD FS se baseia
em padres abertos, ele pode interoperar com qualquer sistema baseado em declaraes compatvel.
O processo para acessar um aplicativo baseado na nuvem bastante semelhante ao cenrio de B2B.
Um exemplo de um servio baseado na nuvem que usa o AD FS para autenticao uma implantao
do Exchange Online hbrida. Nesse tipo de implantao, uma organizao implanta algumas ou todas
as caixas de correio em um ambiente do Microsoft Office 365 e Exchange Online. Porm, a organizao
gerencia todas as contas de usurio no ambiente do AD DS no local. A implantao usa a Ferramenta
de Sincronizao de Diretrios do Microsoft Online Services para sincronizar informaes de conta
do usurio da implantao no local para a implantao do Exchange Online.
Quando os usurios tentam fazer logon na caixa de correio do Exchange Online, eles precisam ser
autenticados com o uso de suas credenciais do AD DS internas. Se os usurios tentarem fazer logon
diretamente no ambiente do Exchange Online, eles sero redirecionados novamente para a implantao
interna do AD FS para autenticao antes de receberem acesso.
As etapas a seguir descrevem o que acontece quando um usurio tenta acessar a caixa de correio
online usando um navegador da Web:
1.

O usurio abre um navegador da Web e envia uma solicitao de HTTPS ao servidor


do Exchange Online Microsoft Outlook Web App.

2.

O servidor do Outlook Web App recebe a solicitao e verifica se o usurio faz parte de
uma implantao do Exchange Server hbrida. Se esse for o caso, o servidor redirecionar
o computador cliente ao servidor de federao do Microsoft Online Services.

3.

O computador cliente envia uma solicitao de HTTPS ao servidor de federao


do Microsoft Online Services.

4.

O computador cliente redirecionado novamente ao servidor de federao no local.


O redirecionamento para o realm inicial do usurio se baseia no sufixo de UPN do usurio.

5.

O computador cliente envia uma solicitao de HTTPS ao servidor de federao no local.

6.

Se o usurio j for feito logon no domnio, o servidor de federao no local poder usar o tquete
de autenticao Kerberos do usurio e solicitar autenticao do AD DS em nome do usurio, usando
a autenticao Integrada do Windows. Se o usurio estiver fazendo logon de fora da rede ou de um
computador que no seja um membro do domnio interno, o usurio receber uma solicitao para
informar as credenciais.

7.

O controlador de domnio do AD DS autentica o usurio e manda de volta a mensagem de xito


ao servidor de federao, junto com outras informaes sobre o usurio que o servidor de federao
poder usar para gerar as declaraes do usurio.

8.

O servidor de federao cria a declarao para o usurio com base nas regras definidas durante
a configurao do servidor do AD FS. Os dados de declaraes so colocados em um token de
segurana assinado digitalmente e enviados ao computador cliente que os publica novamente
no servidor de federao do Microsoft Online Services.

9.

O servidor de federao do Microsoft Online Services valida se o token de segurana veio de um


parceiro de federao confivel. Essa relao de confiana configurada quando voc configura
o ambiente do Exchange Server hbrido.

10. O servidor de federao do Microsoft Online Services cria e assina um novo token que, em
seguida, envia ao computador cliente e que por sua vez manda de volta o token ao servidor
do Outlook Web App.
11. O servidor do Outlook Web App recebe a solicitao e valida os tokens assinados. O servidor emite
para o cliente um cookie de sesso que indica que foi autenticado com xito. Em seguida, o usurio
recebe acesso caixa de correio do Exchange Server.

8-12 Implementao dos Servios de Federao do Active Directory

Lio 2

Implantao do AD FS
Depois que voc entender como o AD FS funciona, a prxima etapa ser a implantao do servio. Antes
de implantar o AD FS, voc deve entender os componentes que precisar implantar e os pr-requisitos
que dever cumprir, particularmente com certificados. Esta lio apresenta uma viso geral da
implantao da funo de servidor do AD FS no Windows Server 2012.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever os componentes que voc pode incluir em uma implantao do AD FS.

Listar os pr-requisitos para uma implantao do AD FS.

Descrever a Infraestrutura de Chave Pblica (PKI) e os requisitos de certificado para a implantao


do AD FS.

Descrever as funes do servidor de federao do AD FS.

Instalar a funo de servidor do AD FS.

Componentes do AD FS
O AD FS instalado como uma funo de servidor
no Windows Server 2012. No entanto, h muitos
componentes diferentes que voc pode instalar
e configurar em uma implantao do AD FS.
A tabela a seguir lista os componentes do AD FS.

Componente

O que ela faz?

Servidor de federao

O servidor de federao emite, gerencia e valida solicitaes que envolvem


declaraes de identidade. Todas as implementaes do AD FS requerem
um Servio de Federao pelo menos para cada floresta participante.

Proxy do servidor
de federao

O proxy do servidor de federao um componente opcional que voc


normalmente implanta em uma rede de permetro. Ele no adiciona
funcionalidade implantao do AD FS, mas implantado apenas para
fornecer uma camada de segurana para conexes da Internet para o
servidor de federao.

Declaraes

Uma declarao uma instruo feita por uma entidade confivel sobre
um objeto como um usurio. A declarao pode incluir o nome do usurio,
o cargo ou qualquer outro fator que possa ser usado em um cenrio de
autenticao. Com o Windows Server 2012, o objeto tambm pode ser um
dispositivo usado em uma implantao de Controle de Acesso Dinmico.

Configurao de servios avanados do Windows Server 2012

8-13

(continuao)
Componente

O que ela faz?

Regras de declarao

As regras de declarao determinam como as declaraes so processadas


pelos servidores de federao. Por exemplo, uma regra de declarao pode
dizer que um endereo de email aceito como uma declarao vlida ou
que um nome de grupo de uma organizao convertido em uma funo
especfica de aplicativo na outra organizao. As regras normalmente so
processadas em tempo real, medida que as declaraes so feitas.

Repositrio
de atributos

O AD FS usa um repositrio de atributos para procurar valores de


declaraes. O AD DS um repositrio de atributos comum e est
disponvel por padro porque a funo de Servidor de Federao
deve ser instalada em um servidor que ingressou no domnio.

Provedor de
declaraes

O provedor de declaraes o servidor que emite declaraes e autentica


os usurios. Um provedor de declaraes habilita um lado do processo de
autenticao e autorizao do AD FS. O provedor de declaraes gerencia
a autenticao do usurio e emite as declaraes que o usurio apresenta
a uma terceira parte confivel.

Terceira parte
confivel

A terceira parte confivel o local em que o aplicativo est localizado


e habilita o segundo lado do processo de autenticao e autorizao
do AD FS. A terceira parte confivel um servio Web que consome
declaraes do provedor de declaraes. O servidor da terceira parte
confivel deve ter o Microsoft Windows Identity Foundation instalado
ou usar o agente com reconhecimento de declaraes do AD FS 1.0.

Relao de confiana
do provedor de
declaraes

A relao de confiana do provedor de declaraes corresponde aos dados


de configurao que definem regras sob as quais um cliente pode solicitar
declaraes de um provedor de declaraes e, subsequentemente, envi-las
a uma terceira parte confivel. A relao de confiana consiste em vrios
identificadores como nomes, grupos e vrias regras.

Relao de confiana
de terceira parte
confivel

A relao de confiana da terceira parte confivel corresponde aos dados


de configurao do AD FS que fornecem declaraes sobre um usurio ou
cliente a uma terceira parte confivel. Ela consiste em vrios identificadores
como nomes, grupos e vrias regras.

Certificados

O AD FS usa certificados digitais ao se comunicar sobre SSL ou como parte


do processo de emisso de token, do processo de recebimento de token e
do processo de publicao de metadados. Os certificados digitais tambm
so usados para assinatura de token.

Pontos de
extremidade

Os pontos de extremidade so mecanismos do Windows Communication


Foundation (WCF) que permitem o acesso s tecnologias AD FS, incluindo
emisso de token e publicao de metadados. O AD FS fornecido com
pontos de extremidade internos que so responsveis por funcionalidades
especficas.

Observao: Muitos desses componentes so descritos com mais detalhes no restante


deste mdulo.

8-14 Implementao dos Servios de Federao do Active Directory

Pr-requisitos do AD FS
Antes de implantar o AD FS, voc deve
assegurar que sua rede interna atenda a
alguns pr-requisitos bsicos. A configurao
dos servios de rede seguintes essencial para
uma implantao bem-sucedida do AD FS:

Conectividade de rede. A conectividade


de rede seguinte necessria:
o

O computador cliente deve ser capaz


de se comunicar com o aplicativo Web,
o servidor de federao de recurso ou
o proxy do servidor de federao e
o servidor de federao de conta ou
o proxy de federao usando HTTPS.

Os proxies do servidor de federao devem ser capazes de se comunicar com os servidores


de federao na mesma organizao usando HTTPS.

Os servidores de federao e os computadores cliente internos devem ser capazes


de se comunicar com controladores de domnio para autenticao.

AD DS. O AD DS uma parte essencial do AD FS. Os controladores de domnio devem estar


executando o Windows Server 2003 Service Pack 1 (SP1) no mnimo. Os servidores de federao
devem ingressar em um domnio do AD DS. O Proxy do Servio de Federao no tem que
ingressar em um domnio. Embora voc possa instalar o AD FS em um controlador de domnio,
ns no recomendamos isso devido a implicaes de segurana.

Repositrios de atributos. O AD FS usa um repositrio de atributos para compilar informaes


de declaraes. O repositrio de atributos contm informaes sobre usurios, que so extradas
do repositrio pelo servidor do AD FS aps a autenticao do usurio. O AD FS oferece suporte
aos repositrios de atributos seguintes:
o

ADAM (Active Directory Application Mode) no Windows Server 2003

Active Directory Lightweight Directory Services (AD LDS) no Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012

Microsoft SQL Server 2005 (todas as edies)

SQL Server 2008 (todas as edies)

Um repositrio de atributos personalizado

Observao: O AD DS pode ser usado tanto como provedor de autenticao quanto


como um repositrio de atributos. O AD FS tambm pode usar o AD LDS como um repositrio
de atributos. No AD FS 1.x, o AD LDS pode ser usado como um repositrio de autenticao, mas
na verso atual do AD FS, o AD LDS somente pode ser usado como um repositrio de atributos.

Configurao de servios avanados do Windows Server 2012

8-15

DNS. A resoluo de nomes permite que os clientes localizem servidores de federao.


Os computadores cliente devem resolver os nomes DNS para todos os servidores de federao
ou os farms do AD FS aos quais se conectam e aplicativos Web que o computador cliente est
tentando usar. Se o computador cliente for externo rede, ele dever resolver o nome DNS para o
Proxy do Servio de Federao, no o servidor de federao interno ou farm do AD FS. O Proxy do
Servio de Federao deve resolver o nome do servidor de federao interno ou farm. Se os usurios
internos tiverem acesso ao servidor de federao interno diretamente e se usurios externos tiverem
que se conectar por meio do proxy do servidor de federao, ser necessrio configurar registros
de DNS diferentes nas zonas de DNS internas e externas.

Pr-requisitos do sistema operacional. Voc pode implantar apenas a verso do Windows Server 2012
do AD FS como uma funo de servidor em um servidor do Windows Server 2012.

Requisitos de PKI e certificado


O AD FS foi projetado para permitir que
os computadores se comuniquem de modo
seguro, mesmo que estejam em locais diferentes.
Neste cenrio, a maioria das comunicaes
entre os computadores passa pela Internet.
Para fornecer segurana para o trfego de rede,
todas as comunicaes so protegidas usando
o protocolo SSL. Esse fator significa que
importante escolher corretamente e atribuir
certificados SSL aos servidores do AD FS.
Para fornecer segurana de SSL, os servidores
do AD FS usam certificados como certificados
de comunicao de servio, certificados da assinatura de token e certificados de descriptografia de token.

Certificado SSL
Voc usa um Certificado SSL para proteger as comunicaes com sites que esto sendo executados nos
servidores de federao e nos proxies do servidor de federao. Esse certificado est associado ao site
padro nos servidores de federao. O certificado SSL deve ser gerenciado com o uso do Gerenciador
do IIS (Servidor de Informaes da Internet).

Certificados de comunicao de servio


Os servidores de federao usam um certificado de autenticao de servidor para habilitar a Segurana
de Mensagem WCF. Por padro, esse o mesmo certificado que um servidor de federao usa como
o certificado SSL no IIS. Voc pode escolher qual certificado usar ao configurar a funo de servidor do
AD FS no servidor e pode alterar o certificado atribudo aps a implantao usando o console do AD FS.

Certificados de assinatura de token


O certificado de assinatura de token usado para assinar todos os tokens emitidos por um servidor de
federao. Esse certificado essencial em uma implantao do AD FS, pois a assinatura do token indica
qual servidor de federao emitiu o token. Esse certificado usado pelo provedor de declaraes para
se identificar e usado pela terceira parte confivel para verificar se o token est vindo de um parceiro
de federao confivel.

8-16 Implementao dos Servios de Federao do Active Directory

A terceira parte confivel tambm exige um certificado da assinatura de token para assinar os tokens
que prepara para outros componentes do AD FS, como aplicativos e clientes da Web. Esses tokens
devem ser assinados pelo certificado de assinatura de token da terceira parte confivel a ser validado
pelos aplicativos de destino.
Quando voc configurar um servidor de federao, o servidor atribuir um certificado autoassinado
como o certificado da assinatura de token. Como nenhuma outra parte confia no certificado
autoassinado, voc pode optar por substituir o certificado autoassinado por um certificado confivel.
Como alternativa, voc pode configurar todos os servidores de federao nas organizaes de parceiros
para confiar no certificado autoassinado. Voc pode ter vrios certificados de assinatura de token
configurados no servidor de federao, mas s o certificado primrio usado para assinar tokens.

Certificados de descriptografia de token


Certificados de descriptografia de token so usados para criptografar o token de usurio antes
de transmitir o token na rede. Para fornecer essa funcionalidade, a chave pblica do certificado
de servidor de federao da terceira parte confivel deve ser fornecido ao servidor de federao
do provedor de declaraes. O certificado enviado sem a chave privada. O servidor do provedor
de declaraes usa a chave pblica do certificado para criptografar o token do usurio. Quando o
token devolvido ao servidor de federao da terceira parte confivel, ele usa a chave privada do
certificado para descriptografar o token. Isso fornece uma camada adicional de segurana durante
a transmisso dos certificados pela Internet.
Quando voc configurar um servidor de federao, o servidor atribuir um certificado autoassinado
como o certificado da descriptografia de token. Como nenhuma outra parte confia no certificado
autoassinado, voc pode optar por substituir o certificado autoassinado por um certificado confivel.
Como alternativa, voc pode configurar todos os servidores de federao nas organizaes de
parceiros para confiar no certificado autoassinado.
Observao: Os proxies do servidor de federao requerem apenas um certificado SSL,
que usado para habilitar a comunicao SSL para todas as conexes de cliente. Como o
proxy do servidor de federao no emite nenhum token, ele no precisa dos outros tipos
de certificados. Os servidores Web que so implantados como parte de uma implantao
do AD FS tambm devem ser configurados com certificados do servidor de SSL para habilitar
comunicaes seguras com computadores cliente.

Escolha de uma autoridade de certificao


Os servidores de federao do AD FS podem usar certificados autoassinados, certificados de uma CA
(autoridade de certificao) privada interna ou certificados que foram adquiridos de uma CA pblica
externa. na maioria das implantaes do AD FS, o fator mais importante durante a escolha de certificados
se todas as partes envolvidas confiam nos certificados. Isso significa que se voc estiver configurando
uma implantao do AD FS que interage com outras organizaes, quase certo que usar uma CA
pblica para o certificado de SSL no proxy do servidor de federao, pois os certificados emitidos
pela CA pblica so de confiana para todos os parceiros automaticamente.

Configurao de servios avanados do Windows Server 2012

8-17

Se voc estiver implantando o AD FS para sua organizao apenas e se todos os servidores e


computadores cliente estiverem sob seu controle, considere usar um certificado de uma CA privada
interna. Se voc implantar uma CA corporativa interna no Windows Server 2012, poder usar a Poltica
de Grupo para assegurar que todos os computadores na organizao confiem automaticamente nos
certificados emitidos pela CA interna. O uso de uma CA interna pode diminuir significativamente
o custo dos certificados.
Observao: A implantao de uma CA interna usando o Servios de Certificados
do Active Directory (AD CS) um processo direto, mas essencial que voc planeje
e faa a implantao atentamente.

Funes do Servidor de Federao


Quando voc instalar a funo de servidor do
AD FS, poder configurar o servidor como um
servidor de federao ou como um proxy do
servidor de federao. Depois de instalar a funo
de servidor de federao, voc pode configurar
o servidor como um Provedor de Declaraes,
uma Terceira Parte Confivel ou ambos. Essas
funes de servidor so as seguintes:

Provedor de declaraes. Um provedor


de declaraes um servidor de federao
que fornece aos usurios tokens assinados
que contm declaraes. Os servidores de
federao do provedor de declaraes so implantados em organizaes nas quais as contas de
usurio esto localizadas. Quando um usurio solicita um token, o servidor de federao do provedor
de declaraes verifica a autenticao de usurio usando o AD DS e coleta informaes de um
repositrio de atributos (como AD DS ou AD LDS), para popular a declarao de usurio com os
atributos necessrios para a organizao de parceiro. O servidor emite tokens no formato SAML.
O servidor de federao do provedor de declaraes tambm protege o contedo de tokens
de segurana em trnsito assinando e criptografando-os opcionalmente.

Terceira Parte Confivel. Uma terceira parte confivel um servidor de federao que recebe tokens
de segurana de um provedor de declaraes confivel. Os servidores de federao da terceira parte
confivel so implantados nas organizaes que fornecem acesso de aplicativo a organizaes de
provedor de declaraes. A terceira parte confivel aceita e valida a declarao e emite novos tokens
de segurana que o servidor Web pode usar para fornecer o acesso apropriado ao aplicativo.

Observao: Um nico servidor do AD FS pode operar como provedor de declaraes


e uma terceira parte confivel, at mesmo com organizaes do mesmo parceiro. O servidor
do AD FS funciona como um provedor de declaraes quando est autenticando os usurios
e fornecendo tokens para outra organizao, mas tambm pode aceitar tokens da mesma
ou de outra organizao em uma funo de terceira parte confivel.

8-18 Implementao dos Servios de Federao do Active Directory

Proxy do Servidor de Federao. Um proxy do servidor de federao fornece um nvel adicional


de segurana ao trfego do AD FS proveniente da Internet aos servidores de federao internos
do AD FS. Os proxies do servidor de federao podem ser implantados no provedor de declaraes
e nas organizaes de terceira parte confivel. No lado do provedor de declaraes, o proxy coleta
as informaes de autenticao de computadores cliente e passa essas informaes ao servidor
de federao do provedor de declaraes para processamento. O servidor de federao emite um
token de segurana ao proxy, que o envia proxy de terceira parte confivel. O proxy do servidor de
federao de terceira parte confivel aceita esses tokens e os transmite para o servidor de federao
interno. O servidor de federao da terceira parte confivel emite um token de segurana para o
aplicativo Web e envia o token ao proxy do servidor de federao que encaminha esse token ao
cliente. O proxy do servidor de federao no fornece nenhum token, nem cria declaraes; apenas
encaminha solicitaes de clientes para servidores internos do AD FS. Toda a comunicao entre
o proxy do servidor de federao e o servidor de federao usa o HTTPS.

Observao: Um proxy do servidor de federao no pode ser configurado como um


provedor de declaraes, nem como uma terceira parte confivel. O provedor de declaraes
e a terceira parte confivel devem ser membros de um domnio do AD DS. O proxy do servidor
de federao pode ser configurado como membro de um grupo de trabalho ou como um
membro de uma floresta de extranet e implantados em uma rede de permetro.

Demonstrao: Instalao da funo de servidor do AD FS


Nesta demonstrao, voc ver como instalar e concluir a configurao inicial da funo de servidor
do AD FS no Windows Server 2012. O instrutor instalar a funo de servidor e executar o Assistente
de Configurao do Servidor de Federao do AD FS para configurar o servidor como um servidor de
federao autnomo.
Observao: Os servidores de federao autnomos devem ser implantados apenas
em ambientes pequenos ou de teste. Uma implantao de servidor autnoma permite a voc
adicionar outro servidor posteriormente para fornecer escalabilidade ou redundncia. Na maioria
dos ambientes de produo, voc deve implantar um farm de servidores, at mesmo se o farm
for conter apenas um nico n.

Configurao de servios avanados do Windows Server 2012

Etapas da demonstrao
Instalar a funo de servidor do AD FS

Em LON-DC1, no Gerenciador do Servidor, adicione a funo de servidor Servios de Federao


do Active Directory.

Configurar a funo de servidor do AD FS


1.

2.

Execute o Assistente de Configurao do Servidor de Federao do AD FS usando


os seguintes parmetros:
o

Criar um novo Servio de Federao

Crie uma implantao autnoma

Use o certificado LON-DC1.Adatum.

Escolha o nome do servio LON-DC1.Adatum.com.

Abra o Windows Internet Explorer e conecte-se a


https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml.

8-19

8-20 Implementao dos Servios de Federao do Active Directory

Lio 3

Implementao do AD FS para uma nica organizao


O cenrio de implantao mais simples para AD FS est dentro de uma organizao nica. Neste cenrio,
um nico servidor do AD FS pode operar tanto como o provedor de declaraes quanto como a
terceira parte confivel. Todos os Usurios neste cenrio so internos organizao, assim como
o aplicativo que os usurios esto acessando.
Esta lio fornece detalhes sobre os componentes necessrios para configurar o AD FS em uma
implantao de organizao nica. Esses componentes incluem declaraes de configurao,
regras de declarao, provedor de declaraes e relaes de confiana de terceira parte confivel.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever as declaraes do AD FS.

Descrever as regras de declarao do AD FS.

Descrever as relaes de confiana do provedor de declaraes.

Descrever as relaes de confiana da terceira parte confivel.

Configurar as relaes de confiana do provedor de declaraes e da terceira parte confivel.

O que so declaraes do AD FS?


As declaraes do AD FS fornecem o link entre as
funes do provedor de declaraes e da terceira
parte confivel em uma implantao do AD FS.
Uma declarao do AD FS uma instruo feita
sobre um determinado assunto (como um usurio)
por uma entidade confivel (como um provedor
de declaraes). O provedor de declaraes cria
as declaraes e a terceira parte confivel as
consome. As declaraes do AD FS proporcionam
um mtodo flexvel e baseado em padres para
as organizaes do provedor de declaraes
fornecerem informaes especficas sobre os
usurios em suas organizaes. As declaraes do AD FS tambm proporcionam um modo para que
as terceiras partes confiveis definam exatamente quais informaes exigem para fornecer acesso de
aplicativo. As informaes de declarao fornecem os detalhes necessrios para que os aplicativos
permitam o acesso a aplicativos com reconhecimento de declaraes.

Configurao de servios avanados do Windows Server 2012

8-21

Tipos de declaraes
Cada declarao do AD FS tem um tipo, como endereo de email, UPN ou sobrenome. possvel emitir
declaraes baseadas em qualquer tipo de declarao definido para os usurios. Portanto, um usurio
receber uma declarao com um tipo de Sobrenome e, por exemplo, um valor de Weber. O AD FS
fornece vrios tipos de declarao internos. Opcionalmente, voc pode criar novos tipos com base
nos requisitos da organizao.
Observao: No AD FS 1.0, voc pode configurar declaraes como declaraes de
identidade, declaraes de grupo ou declaraes personalizadas. Esses tipos de declarao
no se aplicam ao AD FS 2.0 ou verses mais novas. Basicamente, todas as declaraes so
consideradas personalizadas agora.
Cada tipo de declarao do AD FS identificado por um URI que identifica exclusivamente o tipo
de declarao. Essas informaes so fornecidas como parte dos metadados do servidor do AD FS.
Por exemplo, se a organizao do provedor de declaraes e a organizao da terceira parte confivel
decidirem usar um tipo de declarao de AccountNumber, ambas as organizaes devero configurar
um tipo de declarao com esse nome. O tipo de declarao publicado e o URI do tipo de declarao
deve ser idntico em ambos os servidores do AD FS.

Como os valores de declarao so preenchidos


As declaraes emitidas por um provedor de declaraes contm as informaes necessrias pela terceira
parte confivel para habilitar acesso de aplicativo apropriado. Um das primeiras etapas no planejamento
de uma implantao do AD FS definir exatamente quais informaes os aplicativos devem ter sobre
cada usurio para fornecer acesso ao aplicativo a esse usurio. Quando essas informaes so definidas,
as declaraes so definidas ento no servidor de federao do provedor de declaraes. As informaes
necessrias para popular a declarao podem ser obtidas de vrios modos:

A declarao pode ser recuperada de um repositrio de atributos. Frequentemente, as informaes


necessrias para a declarao j esto armazenadas em um repositrio de atributos que est
disponvel para o servidor de federao. Por exemplo, uma organizao talvez decida que a
declarao deve incluir o UPN do usurio, o endereo de email e associaes a grupos especficas.
Essas informaes j esto armazenadas no AD DS, assim o servidor de federao pode apenas
recuperar essas informaes do AD DS ao criar a declarao. Como o AD FS pode usar AD DS,
AD LDS, SQL Server, um protocolo LDAP no Microsoft ou um repositrio de atributos
personalizado para popular declaraes, voc pode definir praticamente qualquer valor
na declarao.

A declarao pode ser calculada com base nas informaes coletadas. Os servidores de federao
do provedor de declaraes tambm podem calcular as informaes com base nas informaes
obtidas de um repositrio de atributos. Por exemplo, talvez voc queira fornecer informaes
sobre o salrio de uma pessoa dentro de uma declarao. Essas informaes provavelmente so
armazenadas em um banco de dados de Recursos Humanos, mas o valor real pode ser considerado
confidencial. Voc pode definir uma declarao que categoriza salrios dentro de uma organizao
e fazer com que o servidor do AD FS calcule a qual categoria um usurio especfico pertence.
Dessa forma, a declarao inclui apenas as informaes de categoria de salrio, no o salrio
de usurio real.

8-22 Implementao dos Servios de Federao do Active Directory

A declarao pode ser transformada de um valor em outro. Em alguns casos, as informaes


armazenadas em um repositrio de atributos no correspondem exatamente s informaes
necessrias para o aplicativo ao criar informaes de autorizao. Por exemplo, o aplicativo
pode ter funes de usurio diferentes definidas que no correspondem diretamente aos
atributos armazenados em qualquer repositrio de atributos. Porm, a funo de aplicativo
pode estar correlacionada associao de grupo do AD DS. Por exemplo, os usurios no grupo
Vendas podem estar correlacionados a uma funo de aplicativo, enquanto os usurios no grupo
Gerenciamento de Vendas podem estar correlacionados a uma funo de aplicativo diferente.
Para estabelecer a correlao no AD FS, voc pode configurar uma transformao de declaraes
que pega o valor fornecido pelo provedor de declaraes e o converte em uma declarao que
til ao aplicativo na terceira parte confivel.

Se voc implantou o Controle de Acesso Dinmico, uma declarao de dispositivo de Controle


de Acesso Dinmico poder ser transformada em uma declarao do AD FS. Isso pode ser usado
para assegurar que os usurios s possam acessar sites do AD FS de estaes de trabalho
confiveis que para as quais foi emitida uma declarao de dispositivo vlida.

O que so regras de declarao do AD FS?


As regras de declarao definem como
as declaraes so enviadas e consumidas
pelos servidores do AD FS. As regras de
declarao definem a lgica comercial
aplicada s declaraes fornecidas pelos
provedores de declaraes e as declaraes
que so aceitas pelas terceiras partes confiveis.
Voc pode usar as regras de declarao para:

Definir quais declaraes de entrada


so aceitas de um ou mais provedores
de declaraes.

Definir quais declaraes de sada so


fornecidas a uma ou mais terceiras partes confiveis.

Aplicar regras de autorizao para habilitar o acesso a uma terceira parte confivel especfica
para um ou mais usurios ou grupos de usurios.

Voc pode definir dois tipos de regras de declarao:

Regras de declarao para uma relao de confiana de provedor de declaraes. Uma relao
de confiana de provedor de declaraes relao de confiana do AD FS que configurada
entre um servidor do AD FS e um provedor de declaraes. Voc pode configurar regras
de declarao para definir como o provedor de declaraes processa e emite declaraes.

Regras de declarao para uma relao de confiana de terceira parte confivel. Uma relao
de confiana de terceira parte confivel a relao de confiana do AD FS que configurada
entre um servidor do AD FS e uma terceira parte confivel. Voc pode configurar regras
de declarao que definem como a terceira parte confivel aceita declaraes do provedor
de declaraes.

Configurao de servios avanados do Windows Server 2012

8-23

Regras de declarao em um provedor de declaraes do AD FS so todas as regras de transformao


de aceitao consideradas. Essas regras determinam que tipos de declarao so aceitos do provedor
de declaraes e enviados uma relao de confiana de terceira parte confivel. Ao configurar o AD FS
dentro de uma organizao nica, h uma relao de confiana de provedor de declaraes padro
configurada com o domnio do AD DS local. Esse conjunto de regras define as declaraes que so
aceitas do AD DS.
H trs tipos de regras de declarao para uma relao de confiana de terceira parte confivel:

Regras de transformao de emisso. Essas regras definem as declaraes que so enviadas


terceira parte confivel que foi definida na relao de confiana da terceira parte confivel.

Regras de autorizao de emisso. Essas regras definem quais usurios tm acesso permitido
ou negado terceira parte confivel que foi definida na relao de confiana da terceira parte
confivel. Esse conjunto de regras pode incluir regras que permitem explicitamente o acesso a
uma terceira parte confivel e/ou regras que negam explicitamente o acesso a uma terceira parte
confivel.

Regras de autorizao de delegao. Essas regras definem as declaraes que especificam quais
usurios podem agir em nome de outros usurios ao acessar a terceira parte confivel. Esse conjunto
de regras pode incluir regras que permitem delegados explicitamente para uma terceira parte
confivel ou regras que negam explicitamente delegados para uma terceira parte confivel.

Observao: Uma regra de declarao nica s pode ser associada a uma relao de
confiana federada nica. Isso significa que voc no pode criar um conjunto de regras para
uma relao de confiana e reutilizar essas regras para outras relaes de confiana que voc
configura em seu servidor de federao.
Os servidores do AD FS so pr-configurados com um conjunto de regras padro e vrios modelos
padro que voc pode usar para criar as regras de declarao mais comuns. Voc tambm pode
criar regras de declarao personalizadas usando o idioma da regra de declarao do AD FS.

O que uma relao de confiana de provedor de declaraes?


Uma relao de confiana de provedor
de declaraes configurada no servidor
de federao da terceira parte confivel.
A relao de confiana do provedor de
declaraes identifica o provedor de declaraes
e descreve como a terceira parte confivel
consome as declaraes que o provedor
de declaraes emite. Voc deve configurar
uma relao de confiana do provedor de
declaraes para cada provedor de declaraes.

8-24 Implementao dos Servios de Federao do Active Directory

Por padro, um servidor do AD FS configurado com uma relao de confiana de provedor de


declaraes chamado Active Directory. Essa relao de confiana define as regras de declarao,
que so todas as regras de transformao de aceitao que definem como o servidor do AD FS aceita
credenciais do AD DS. Por exemplo, as regras de declarao padro na relao de confiana do provedor
de declaraes incluem regras que passam os nomes de usurio, SIDs (identificadores de segurana)
SIDs de grupo para a terceira parte confivel. Em uma implantao do AD FS de organizao nica
onde o AD DS autentica todos os usurios, a relao de confiana do provedor de declaraes padro
pode ser a nica relao de confiana do provedor de declaraes necessria.
Quando voc expandir a implantao do AD FS para incluir outras organizaes, dever criar relaes
de confiana de provedor de declaraes adicionais para cada organizao federada de provedor de
identidade. Ao configurar uma relao de confiana de provedor de declaraes, voc tem trs opes:

Importar dados sobre o provedor de declaraes por meio dos metadados de federao. Se o
servidor de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do
seu servidor de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor
de federao do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro
e baixa os metadados de federao do servidor. Os metadados de federao incluem todas as
informaes necessrias para configurar a relao de confiana do provedor de declaraes.
Como parte do download de metadados da federao, seu servidor de federao tambm
baixa o certificado SSL que usado pelo servidor de federao de parceiro.

Importar dados sobre o provedor de declaraes de um arquivo. Use essa opo se o servidor
de federao do parceiro no estiver diretamente acessvel de seu servidor de federao, mas
a organizao de parceiro tiver exportado sua configurao e fornecido as informaes em
um arquivo. O arquivo de configurao deve incluir as informaes de configurao para a
organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.

Configurar manualmente a relao de confiana do provedor de declaraes. Use essa opo se


voc quiser definir todas as configuraes para a relao de confiana do provedor de declaraes
diretamente. Quando escolhe essa opo, voc deve fornecer os recursos aos quais o provedor
de declaraes oferece suporte, a URL usada para acessar os servidores do AD FS do provedor
de declaraes e adicionar o certificado SSL usado pela organizao de parceiro.

O que uma relao de confiana de terceira parte confivel?


Uma relao de confiana de terceira parte
confivel definida no servidor de federao
do provedor de declaraes. A relao de
confiana de terceira parte confivel identifica
a terceira parte confivel e tambm define
as regras de declaraes que definem como
a terceira parte confivel aceita e processa
declaraes do provedor de declaraes.

Configurao de servios avanados do Windows Server 2012

8-25

Em um cenrio de organizao nica, a relao de confiana de terceira parte confivel define como
o servidor do AD FS interage com os aplicativos implantados no aplicativo. Quando voc configura
a relao de confiana de terceira parte confivel em uma organizao nica, fornece a URL para
o aplicativo interno e define configuraes, por exemplo, se o aplicativo oferece suporte a SAML 2.0
ou se requer tokens do AD FS 1.0, a URL usada pelo servidor Web e as regras de autorizao de emisso
para o aplicativo.
O processo para configurar a relao de confiana de terceira parte confivel semelhante ao da relao
de confiana do provedor de declaraes. Quando voc expandir a implantao do AD FS para incluir
outras organizaes, dever criar relaes de confiana de terceiras partes confiveis adicionais para
cada organizao federada. Ao configurar uma relao de confiana de terceira parte confivel,
voc tem trs opes:

Importar dados sobre a terceira parte confivel por meio dos metadados de federao. Se o servidor
de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do seu servidor
de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor de federao
do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro e baixa os
metadados de federao do servidor. Os metadados de federao incluem todas as informaes
necessrias para configurar a relao de confiana da terceira parte confivel. Como parte do
download de metadados da federao, seu servidor de federao tambm baixa o certificado
SSL que usado pelo servidor de federao de parceiro.

Importar dados sobre a terceira parte confivel de um arquivo. Use essa opo se o servidor de
federao do parceiro no estiver acessvel de seu servidor de federao diretamente. Nesse caso,
a organizao do parceiro pode exportar suas informaes de configurao para um arquivo e
fornec-las a voc. O arquivo de configurao deve incluir as informaes de configurao para
a organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.

Configurar manualmente a relao de confiana do provedor de declaraes. Use essa opo se


voc quiser definir todas as configuraes para a relao de confiana do provedor de declaraes
diretamente.

Demonstrao: Configurao de relaes de confiana do provedor


de declaraes e de terceira parte confivel
Nesta demonstrao, voc ver como configurar relaes de confiana do provedor de declaraes
e de terceira parte confivel. O instrutor mostrar como editar relaes de confiana do provedor
de declaraes do Active Directory padro. O instrutor tambm criar uma nova relao de confiana
de terceira parte confivel e demonstrar como configure essa relao de confiana.

Etapas da demonstrao
Configurar uma relao de confiana de provedor de declaraes
1.

No console do AD FS, abra Confianas do Provedor de Declaraes, realce o repositrio


do Active Directory e clique em Editar Regras de Declarao.

2.

Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras de
Transformao de Aceitao, inicie o assistente para Adicionar Regra de Declarao
de Transformao.

8-26 Implementao dos Servios de Federao do Active Directory

3.

Conclua o Assistente para Adicionar Regra de Declarao de Transformao com as seguintes


configuraes:
o

Em Modelo de regra de declarao, clique em Enviar Atributos LDAP como Declaraes.

Atribua um nome regra de declarao Regra de Atributo LDAP de Sada.

Escolha Active Directory como o Repositrio de Atributos.

Em Mapeamento de atributos LDAP para tipos de declarao de sada,


selecione os seguintes valores:

E-Mail-Addresses = Endereo de email

User-Principal-Name = UPN

Configure um aplicativo do Windows Identity Foundation para AD FS


1.

Em LON-SVR1, na tela inicial, inicie o Utilitrio de Federao do Windows Identity Foundation.

2.

Conclua o Assistente de Utilitrio de Federao com as seguintes configuraes:


o

Aponte para o aplicativo de exemplo de arquivo web.config navegando


at C:\Inetpub\wwwroot\AdatumTestApp\web.config.

Especifique uma caixa URI de Aplicativo digitando


https://lon-svr1.adatum.com/AdatumTestApp/.

Selecione a opo Use an existing STS e insira o caminho


https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml.

Desabilite a validao da cadeia de certificados.

Selecione a opo No encryption.

Configure uma relao de confiana de terceira parte confivel


1.

No console do AD FS, no painel intermedirio, clique em Necessrio: Adicionar uma terceira parte
confivel.

2.

Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o

Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.

Especifique um Nome para exibio ADatum Test App.

Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.

Verifique se a caixa de seleo Editar Regras de Declarao para ADatum Test App
est selecionada.

Configurao de servios avanados do Windows Server 2012

8-27

Lio 4

Implantao do AD FS em um cenrio de federao B2B


Um segundo cenrio comum para implementar o AD FS est em um cenrio de federao B2B.
Neste cenrio, os usurios em uma organizao requerem acesso a um aplicativo em outra organizao.
O AD FS neste cenrio habilita o SSO. Desse modo, os usurios sempre fazem logon no ambiente inicial
do AD DS, mas recebem acesso ao aplicativo de parceiro com base nas declaraes adquiridas do
servidor do AD FS local.
A configurao do AD FS em um cenrio de federao B2B bastante semelhante configurao
do AD FS em um cenrio de organizao nica. A diferena primria que agora tanto as relaes
de confiana do provedor de declaraes quanto da terceira parte confivel se referem a organizaes
externas, em vez do AD DS interno ou aplicativo.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Configurar o parceiro de conta em um cenrio de federao B2B.

Configurar o parceiro de recurso em um cenrio de federao B2B.

Explicar como configurar regras de declaraes para um cenrio de federao B2B.

Explicar como a descoberta de realm inicial funciona.

Configurar regras de declaraes.

Configurao de um parceiro de conta


Em um cenrio AD FS de B2B, a terminologia
usada para descrever os dois parceiros envolvidos
na implantao do AD FS ligeiramente diferente.
Neste cenrio, a organizao de provedor de
declaraes tambm chamada de organizao
de parceiro de conta. Uma organizao de
parceiro de conta a organizao na qual as
contas de usurio so armazenadas em um
repositrio de atributos. Um parceiro de
conta gerencia as seguintes tarefas:

Coletar credenciais de usurios que esto


usando um servio baseado na Web e,
em seguida, autenticar essas credenciais.

Construir declaraes para usurios e, em seguida, empacotar as declaraes em tokens de


segurana. Os tokens podem ser apresentados em uma relao de confiana de federao
para obter acesso a recursos de federao localizados na organizao de parceiro de recurso.

8-28 Implementao dos Servios de Federao do Active Directory

Configurao da organizao de parceiro de conta


A configurao da organizao de parceiro de conta para preparar para federao envolve as etapas
seguintes:
1.

Implementar a topologia fsica para a implantao de parceiro de conta. Essa etapa pode incluir
a deciso sobre o nmero de servidores de federao e proxies de servio de federao a serem
implantados e a configurao dos registros e certificados de DNS necessrios.

2.

Adicionar um repositrio de atributos. Use o console do AD FS para adicionar o repositrio de


atributos. Na maioria dos casos, voc usa o repositrio de atributos do Active Directory padro
(que deve ser usado para autenticao), mas tambm pode adicionar outros repositrios de
atributos, se necessrio, para compilar as declaraes de usurio.

3.

Conecte-se a uma organizao de parceiro de recurso criando uma relao de confiana de


terceira parte confivel. O modo mais fcil de fazer isso usar a URL de metadados de federao
fornecida pela organizao de parceiro de recurso. Com essa opo, seu servidor do AD FS coleta
as informaes necessrias para a relao de confiana de terceira parte confivel automaticamente.

4.

Adicionar uma descrio de declarao. A descrio de declarao lista as declaraes que sua
organizao fornece ao parceiro confivel. Essas informaes podem incluir nomes de usurios,
endereos de email, informaes de associao a grupos ou outras informaes de identificao
de um usurio.

5.

Preparar computadores cliente para federao. Isso pode envolver duas etapas:
a.

Adicionar o servidor de federao de parceiro de conta. No navegador de computadores cliente,


adicione o servidor de federao de parceiro de conta lista de Intranet Local. Ao adicionar o
servidor de federao de parceiro de conta lista de Intranet Local nos computadores cliente,
voc habilita a autenticao Integrada do Windows, o que significa que os usurios no recebem
uma solicitao para autenticao se j estiverem conectados no domnio. Voc pode usar GPOs
(Objetos de Poltica de Grupo) para atribuir a URL lista de sites de Intranet Local.

b.

Configurar relaes de confiana de certificados. Essa ser uma etapa opcional que s ser
necessria se um ou mais dos servidores que os clientes acessam no tiver certificados confiveis.
O computador cliente talvez tenha que se conectar aos servidores de federao de conta,
servidores de federao de recurso ou servidores proxy de federao e servidores Web de
destino. Se um desses certificados no for de uma CA pblica confivel, voc poder ter que
adicionar o certificado apropriado ou certificado raiz ao repositrio de certificados nos clientes.
Faa isso usando GPOs.

Configurao de servios avanados do Windows Server 2012

8-29

Configurao de um parceiro de recurso


A organizao de parceiro de recurso
a terceira parte confivel em um cenrio
de federao B2B. A organizao de parceiro
de recurso o local em que os recursos existem
e so disponibilizados para organizaes
de parceiro de conta. O parceiro de recurso
gerencia as seguintes tarefas:

Aceita tokens de segurana que o servidor


de federao de parceiro de conta gera
e valida.

Consome as declaraes dos tokens de


segurana e fornece novas declaraes a seus
servidores Web depois de tomar uma deciso de autorizao.

Os servidores Web devem ter os servios de funo Windows Identity Foundation ou Agente da Web
com Reconhecimento de Declaraes do AD FS 1.x instalados para externar a lgica de identidade
e aceitar declaraes.
Observao: O Windows Identity Foundation fornece um conjunto de ferramentas de
desenvolvimento consistente que permite que os desenvolvedores integrem a autenticao
baseada em declaraes e autorizao em seus aplicativos. O Windows Identity Foundation
tambm inclui um SDK (Software Development Kit) e aplicativos de exemplo. Use um aplicativo
de exemplo do Windows Identity Foundation no laboratrio deste mdulo.
Configurar a organizao de parceiro de recurso semelhante a configurar a organizao de parceiro
de conta e consiste nas etapas seguintes:
1.

Implementar a topologia fsica para a implantao de parceiro de recurso. As etapas de planejamento


e implementao so iguais s de parceiro de conta, com a adio do planejamento do local e da
configurao do servidor Web.

2.

Adicionar um repositrio de atributos. No parceiro de recurso, o repositrio de atributos usado


para popular as declaraes que so oferecidas ao cliente para apresentar ao servidor Web.

3.

Conecte-se a uma organizao de parceiro de conta criando uma relao de confiana de provedor
de declaraes.

4.

Crie conjuntos de regras de declarao para a relao de confiana de provedor de declaraes.

8-30 Implementao dos Servios de Federao do Active Directory

Configurao regras de declaraes para cenrios B2B


Em uma implantao de organizao nica
do AD FS, talvez seja bem simples criar e
implementar regras de declarao. Em muitos
casos, voc pode precisar fornecer apenas o
nome de usurio ou o nome de grupo coletado
da declarao e apresentado ao servidor Web.
Em um cenrio de B2B, mais provvel que voc
ter que configurar regras de declaraes mais
complicadas para definir o acesso de usurio
entre sistemas muito variados.
As regras de declarao definem como parceiros
de conta (provedores de declaraes) criam
declaraes e como parceiros de recurso (terceiras partes confiveis) consomem declaraes.
O AD FS fornece vrios modelos que voc pode usar ao configurar regras de declarao:

Modelo de regra de Envio de Atributos LDAP como Declaraes. Use este modelo quando voc
selecionar atributos especficos em um repositrio de atributos LDAP para popular declaraes.
Voc pode configurar vrios atributos LDAP como declaraes individuais em uma nica regra de
declarao que cria com base nesse modelo. Por exemplo, voc pode criar uma regra que extraia
os atributos do AD DS sn (sobrenome) e givenName de todos os usurios autenticados e enviar
esses valores como declaraes de sada a serem enviadas a uma terceira parte confivel.

Modelo de regra de Envio de Associao de Grupo como uma Declarao. Use este modelo para
enviar um tipo de declarao especfico e valor de declarao associado baseados na associao
ao grupo de segurana do AD DS do usurio. Por exemplo, voc poder usar esse modelo para criar
uma regra que envia um tipo de declarao de grupo com um valor de SalesAdmin, se o usurio for
membro do grupo de segurana Gerente de Vendas no domnio do AD DS. Essa regra emite apenas
uma nica declarao, com base no grupo do AD DS que voc seleciona como parte do modelo.

Modelo de regra de Passagem ou Filtragem de uma Declarao de Entrada. Use este modelo
para definir restries adicionais nas quais so enviadas declaraes a terceiras partes confiveis.
Por exemplo, talvez voc queira usar um endereo de email de usurio como uma declarao, mas
s encaminhar o endereo de email se o sufixo de domnio no endereo de email for adatum.com.
Ao usar esse modelo, voc passar qualquer declarao extrada do repositrio de atributos ou
pode configurar regras que filtram se a declarao for passada com base em vrios critrios.

Configurao de servios avanados do Windows Server 2012

8-31

Modelo de regra de Transformao de uma Declarao de Entrada. Use esse modelo para mapear o
valor de um atributo no repositrio de atributos do provedor de declaraes para um valor diferente
no repositrio de atributo da terceira parte confivel. Por exemplo, talvez voc queira fornecer a
todos os membros do departamento de Marketing da A. Datum Corporation acesso limitado a um
aplicativo de compra na Trey Research. Na Trey Research, o atributo usado para definir o nvel de
acesso limitado pode ter um atributo de LimitedPurchaser. Para abordar este cenrio, voc pode
configurar uma regra de declaraes que transforma uma declarao de sada na qual o valor de
Departamento Marketing em uma declarao de entrada na qual o atributo ApplicationAccess
LimitedPurchaser. As regras criadas com base nesse modelo devem ter uma relao um para
um entre a declarao no provedor de declaraes e a declarao no parceiro confivel.

Modelo de regra de Permitir ou Negar Usurios com Base em uma Declarao de Entrada. Esse
modelo s est disponvel quando voc est configurando Regras de Autorizao de Emisso ou
Delegao em uma relao de confiana de terceira parte confivel. Use esse modelo para criar
regras que permitem ou negam acesso pelos usurios para uma terceira parte confivel, com base
no tipo e no valor de uma declarao de entrada. Esse modelo de regra de declarao permite
a voc executar uma verificao de autorizao no provedor de declaraes antes do envio de
declaraes a uma terceira parte confivel. Por exemplo, voc pode usar esse modelo de regra para
criar uma regra que permita apenas que os usurios do grupo Vendas acessem uma terceira parte
confivel, enquanto as solicitaes de autenticao de membros de outros grupos no so enviadas
terceira parte confivel.

Se nenhum dos modelos de regra de declarao internos fornecer a funcionalidade necessria, voc
poder criar regras mais complexas usando o idioma da regra de declarao do AD FS. Ao criar uma
regra personalizada, voc pode extrair informaes de vrios repositrios de atributos e tambm
combinar tipos de declarao em uma nica regra de declarao.

Como a descoberta de realm inicial funciona


Algumas organizaes de parceiro de recurso
que esto hospedando aplicativos com
reconhecimento de declaraes talvez queiram
permitir que vrios parceiros de conta acessem
seus aplicativos. Neste cenrio, quando os
usurios se conectam ao aplicativo Web, deve
haver algum mecanismo para direcion-los
ao servidor de federao do AD FS no domnio
inicial, em vez de para o servidor de federao
de outra organizao. O processo para direcionar
clientes para o parceiro de conta apropriado
chamado descoberta de realm inicial.
A descoberta de realm inicial ocorre depois que o cliente se conecta ao site da terceira parte confivel
e redirecionado para o servidor de federao da terceira parte confivel. Nesse ponto, o servidor de
federao da terceira parte confivel deve redirecionar o cliente ao servidor de federao no realm
inicial do cliente para que o usurio possa ser autenticado. Se houver vrios provedores de declaraes
configurados no servidor de federao de terceira parte confivel, ela dever saber para qual servidor
de federao redirecionar o cliente.

8-32 Implementao dos Servios de Federao do Active Directory

Em um nvel alto, h trs modos nos quais implementar a descoberta de realm inicial:
1.

Pea aos usurios que selecionem seu realm inicial. Com essa opo, quando o usurio
redirecionado ao servidor de federao da terceira parte confivel, o servidor de federao
pode exibir uma pgina da Web solicitando que o usurio identifique para qual empresa eles
trabalha. Quando o usurio seleciona a empresa apropriada, o servidor de federao pode usar
essas informaes para redirecionar o computador cliente ao servidor de federao de incio
apropriado para autenticao.

2.

Modifique o link para o aplicativo Web incluir uma cadeia de caracteres WHR que especifica o
realm inicial do usurio. O servidor de federao da terceira parte confivel usa essa cadeia de
caracteres para redirecionar o usurio automaticamente ao realm inicial apropriado. Isso significa
que o usurio no tem que receber uma solicitao para selecionar o realm inicial, pois a cadeia
de caracteres WHR na URL em que o usurio clica retransmite as informaes necessrias ao
servidor de federao da terceira parte confivel. O link modificado talvez se parea com
o seguinte: https://www.adatum.com/OrderApp/?whr=urn:federation:TreyResearch

Observao: Um das opes disponveis para descoberta de realm inicial com aplicativos
compatveis com SAML 2.0 um perfil de SAML chamado IdPInitiated SSO. Esse perfil de SAML
configura os usurios para acessar o provedor de declaraes local primeiro, que pode preparar
o token do usurio com as declaraes necessrias para acessar o aplicativo Web do parceiro.
A verso do Windows Server 2012 do AD FS no implementa completamente o perfil
IdPInitiated SSO, mas fornece algumas das mesmas funcionalidades implementando
um recurso denominado RelayState.
Leitura adicional: Para obter mais informaes sobre RelayState, consulte
o site de suporte ao RelayState iniciado pelo provedor de identidade localizado
em http://go.microsoft.com/fwlink/?LinkId=270036.
Observao: O processo de descoberta de realm inicial ocorre na primeira vez que o
usurio tenta acessar um aplicativo Web. Depois que o usurio se autenticar com xito, um
cookie de descoberta de realm inicial ser emitido para o cliente para que o usurio no tenha
que passar pelo processo na prxima vez. Esse cookie de descoberta de realm inicial expira
depois de um ms, a menos que o cache de cookie seja desmarcado antes da expirao.

Configurao de servios avanados do Windows Server 2012

8-33

Demonstrao: Configurao de regras de declaraes


Nesta demonstrao, voc ver como configurar regras de declaraes em uma relao de confiana
de terceira parte confivel que encaminha um nome de grupo como parte da declarao. Voc tambm
ver como configurar uma regra de declaraes que limita o acesso ao aplicativo apenas a membros
de um determinado grupo.

Etapas da demonstrao
Configurar regras de declaraes
1.

Em LON-DC1, edite a relao de confiana da terceira parte confivel Adatum Test App criando
uma nova Regra de Transformao de Emisso que passa ou filtra uma declarao de entrada.
o

Nomeie a regra como Regra de Envio de Nome de Grupo

Configure a regra para usar um tipo de declarao de entrada de grupo.

2.

Exclua a Regra de Autorizao de Emisso que concede acesso a todos os usurios.

3.

Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio
com base na declarao de entrada Configurar a regra com o seguinte:

4.

5.

Nome: Regra de permisso de grupo de produo

Tipo de declarao de entrada: Grupo

Valor de declarao de entrada: Production

Permitir acesso a usurios com esta declarao de entrada

Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com
base na declarao de entrada. Configure a regra com o seguinte e clique em Concluir:
o

Nome: Permitir usurios da A Datum

Tipo de declarao de entrada: UPN

Valor de declarao de entrada: @adatum.com

Permitir acesso a usurios com esta declarao de entrada,

Abra as propriedades da regra Permitir usurios da A Datum e examine o idioma da regra


de declaraes.

8-34 Implementao dos Servios de Federao do Active Directory

Laboratrio: Implementao dos Servios de Federao


do Active Directory
Cenrio
A A. Datum Corporation configurou vrias relaes de confiana com outras empresas e clientes.
Algumas dessas empresas de parceiro e clientes devem acessar aplicativos de negcios que esto sendo
executados na rede da A. Datum. Os grupos comerciais na A. Datum desejam fornecer um nvel mximo
de funcionalidade e acesso a essas empresas. Os departamentos de Segurana e Operaes desejam
assegurar que os parceiros e clientes possam acessar apenas os recursos para os quais requerem acesso,
e que a implementao da soluo no aumenta a carga de trabalho significativamente para a equipe
de Operaes. A A. Datum tambm est trabalhando na migrao de algumas partes da infraestrutura
de para servios online, inclusive o Windows Azure e Office 365.
Para satisfazer esses requisitos comerciais, a A. Datum planeja implementar o AD FS. Na implantao
inicial, a empresa planeja usar o AD FS para implementar SSO para usurios internos que acessam
um aplicativo em um servidor Web. A A. Datum tambm entrou em uma parceria com outra empresa,
a Trey Research. Os usurios da Trey Research devem poder acessar o mesmo aplicativo.
Como um dos administradores de rede snior da A. Datum, sua responsabilidade implementar
a soluo AD FS. Como uma prova de conceito, voc planeja implantar um aplicativo de exemplo
com reconhecimento de declaraes e configurar o AD FS para permitir que usurios internos
e da Trey Research acessem o mesmo aplicativo.

Objetivos

Configurar os pr-requisitos do AD FS.

Instalar e configurar o AD FS.

Configurar o AD FS para uma organizao nica.

Configurar o AD FS para parceiros comerciais federados.

Configurao do laboratrio
Tempo previsto: 90 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1

Nome de Usurio

Adatum\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

Configurao de servios avanados do Windows Server 2012

4.

5.

8-35

Faa logon usando as seguintes credenciais:


o

Nome de Usurio: ADATUM\Administrador

Senha: Pa$$w0rd

Repita as etapas 2 a 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-MUN-DC1.


a.

Faa logon em 24412B-LON-SVR1 como ADATUM\Administrador.

b.

No faa logon em 24412B-LON-CL1 nessa fase.

c.

Em 24412B-MUN-DC1, faa logon como TREYRESEARCH\Administrador com a senha


Pa$$w0rd.

Exerccio 1: Configurao dos pr-requisitos dos Servios de Federao


do Active Directory
Cenrio
Para implantar o AD FS na A. Datum Corporation, voc deve verificar se todos os componentes
necessrios foram configurados. Voc planeja verificar se o AD CS foi implantado na organizao e
depois configurar os certificados necessrios para o AD FS no servidor AD FS e nos servidores Web.
Voc tambm planeja configurar os encaminhadores de DNS para permitir a comunicao entre
Adatum.com e TreyResearch.net.
As principais tarefas deste exerccio so:
1.

Configurar encaminhadores de DNS (Sistema de Nomes de Domnio).

2.

Trocar certificados raiz para permitir relaes de confiana de certificado.

3.

Solicitar e instalar um certificado para o servidor Web.

4.

Associar o certificado ao aplicativo com reconhecimento de declaraes no servidor Web


e verificar o acesso de aplicativo.

Tarefa 1: Configurar encaminhadores de DNS (Sistema de Nomes de Domnio)


1.

Em LON-DC1, crie um novo encaminhador condicional para o domnio TreyResearch.net, usando


o endereo IP do servidor DNS 172.16.10.10.

2.

Em MUN-DC1, crie um novo encaminhador condicional para o domnio Adatum.com, usando


o endereo IP do servidor DNS 172.16.0.10.

Tarefa 2: Trocar certificados raiz para permitir relaes de confiana de certificado


1.

Em LON-DC1, copie MUN-DC1.TreyResearch.net_TreyResearch-MUN-DC1-CA.crt


de \\MUN-DC1.treyresearch.net\certenroll para a pasta Documents.

2.

Crie um novo Console de Gerenciamento Microsoft (MMC) e adicione o Editor de Gerenciamento


de Poltica de Grupo.

3.

Edite o Objeto de Poltica de Grupo de Poltica de Domnio Padro e importe o certificado


raiz confivel para a pasta Autoridades de Certificao Raiz Confivel.

4.

Em MUN-DC1, cope LON-DC1.Adatum.com_Adatum-LON-DC1-CA.crt


de \\LON-DC1.Adatum.com\certenroll para a pasta Documents.

5.

Crie um novo MMC e adicione o snap-in Certificados com foco no Computador Local.

6.

Importe o certificado raiz copiado para a pasta Autoridades de Certificao Raiz Confiveis.

8-36 Implementao dos Servios de Federao do Active Directory

Tarefa 3: Solicitar e instalar um certificado para o servidor Web


1.

Em LON-SVR1, abra o Gerenciador do Servios de Informaes da Internet (IIS).

2.

Solicite um novo certificado de domnio para o servidor usando os parmetros seguintes:

3.

Nome comum: LON-SVR1.adatum.com

Organizao: A. Datum

Unidade organizacional: TI

Cidade/localidade: Londres

Estado/provncia: Inglaterra

Pas/regio: GB

Solicite o certificado de Adatum-LON-DC1-CA.

Tarefa 4: Associar o certificado ao aplicativo com reconhecimento de declaraes


no servidor Web e verificar o acesso de aplicativo
1.

Em LON-SVR1, no IIS, crie uma nova associao de site HTTPS e selecione o certificado recm-criado.

2.

Em LON-DC1, abra o Internet Explorer e conecte-se


a https://lon-svr1.adatum.com/adatumtestapp.

3.

Verifique se voc consegue se conectar ao site, mas recebe um erro de acesso negado 401.
Isso esperado, pois voc ainda no tem o AD FS configurado para autenticao.

4.

Feche o Internet Explorer.

Resultados: Depois de concluir este exerccio, voc ter configurado o encaminhamento de DNS para
permitir a resoluo de nomes entre a A. Datum e a Trey Research e dever ter trocado certificados raiz
entre as duas organizaes. Voc tambm dever ter instalado e configurado um certificado da Web
no servidor de aplicativos.

Exerccio 2: Instalao e configurao do AD FS


Cenrio
Para iniciar a implementao do AD FS, voc planeja instalar o AD FS no controlador de domnio
da A. Datum Corporation e configurar o servidor como um servidor de federao autnomo. Voc
tambm planeja configurar o servidor para usar um certificado de assinatura de token assinado pela CA.
As principais tarefas deste exerccio so:
1.

Instalar e configurar o AD FS.

2.

Criar um servidor de federao autnomo usando o Assistente de Configurao de Servidor


de Federao do AD FS.

3.

Verifique se FederationMetaData.xml est presente e contm dados vlidos.

Tarefa 1: Instalar e configurar o AD FS

Em LON-DC1, no Gerenciador do Servidor, adicione a funo de servidor Servios de Federao


do Active Directory.

Configurao de servios avanados do Windows Server 2012

8-37

Tarefa 2: Criar um servidor de federao autnomo usando o Assistente


de Configurao de Servidor de Federao do AD FS

Em LON-DC1, execute o Assistente de Configurao do Servidor de Federao do AD FS usando


os seguintes parmetros:
o

Criar um novo Servio de Federao.

Criar uma implantao autnoma.

Use o certificado LON-DC1.Adatum.com.

Escolha um nome do servio de LON-DC1.Adatum.com.

Tarefa 3: Verifique se FederationMetaData.xml est presente e contm dados vlidos


1.

Em LON-CL1, faa logon como Adatum\Brad, usando a senha Pa$$w0rd.

2.

Abra o Internet Explorer.

3.

Em Opes de Internet, adicione https://LON-DC1.Adatum.com e https://LON-SVR1.adatum.com


zona de intranet Local.

4.

Conecte-se a https://lon-dc1.adatum.com/federationmetadata/2007-06/
federationmetadata.xml.

5.

Verifique se o arquivo xml aberto com xito e role por seu contedo.

6.

Feche o Internet Explorer.

Resultados: Depois de concluir este exerccio, voc ter instalado e configurado a funo de servidor
AD FS e verificado uma instalao bem-sucedida exibindo o contedo de FederationMetaData.xml.

Exerccio 3: Configurao do AD FS para uma organizao nica


Cenrio
O primeiro cenrio para implementar a o aplicativo AD FS de prova de conceito assegurar que os
usurios internos podem usar SSO para acessar o aplicativo Web. Voc planeja configurar o servidor
AD FS e um aplicativo Web para habilitar este cenrio. Voc tambm deseja verificar se os usurios
internos podem acessar o aplicativo.
As principais tarefas deste exerccio so:
1.

Configurar um certificado de assinatura de token para LON-DC1.Adatum.com.

2.

Configurar um uma relao de confiana do provedor de declaraes do Active Directory.

3.

Configurar o aplicativo de declaraes para confiar nas declaraes de entrada executando


o Utilitrio de Federao do Windows Identity Foundation.

4.

Configurar uma relao de confiana de terceira parte confivel para o aplicativo com
reconhecimento de declaraes.

5.

Configurar as regras de declarao para a relao de confiana da terceira parte confivel.

6.

Testar o acesso ao aplicativo com reconhecimento de declaraes.

8-38 Implementao dos Servios de Federao do Active Directory

Tarefa 1: Configurar um certificado de assinatura de token


para LON-DC1.Adatum.com
1.

Em LON-DC1, no prompt do Windows PowerShell, use o comando


set-ADFSProperties AutoCertificateRollover $False para permitir a modificao
dos certificados atribudos.

2.

No console do AD FS, adicione o certificado LON-DC1.Adatum.com como um novo certificado


de assinatura de token. Verifique se o certificado tem o assunto CN=LON-DC1.Adatum.com e
objetivos de Prova a sua identidade para um computador remoto e Garante a identidade
de um computador remoto.

3.

Torne o novo certificado o certificado primrio e remova o certificado antigo.

Tarefa 2: Configurar um uma relao de confiana do provedor de declaraes


do Active Directory
1.

Em LON-DC1, no console do AD FS, v para Confianas do Provedor de Declaraes,


realce o repositrio Active Directory e acesse Editar Regras de Declarao.

2.

Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras
de Transformao de Aceitao, inicie o Assistente para Adicionar Regra de Declarao
de Transformao e preencha as seguintes configuraes:

3.

Modelo de regra de declarao: Enviar Atributos LDAP como Declaraes

Nome: Regra de Atributo LDAP de Sada

Repositrio de Atributos: Active Directory

Em Mapeamento de atributos LDAP para tipos de declarao de sada, selecione os


seguintes valores:
o

E-Mail-Addresses = Endereo de email

User-Principal-Name = UPN

Display-Name = Nome

Tarefa 3: Configurar o aplicativo de declaraes para confiar nas declaraes


de entrada executando o Utilitrio de Federao do Windows Identity Foundation
1.

Em LON-SVR1, na tela inicial, inicie o Utilitrio de Federao do Windows Identity Foundation.

2.

Conclua o assistente com as seguintes configuraes:


o

Aponte para o arquivo web.config do aplicativo de exemplo do Windows Identity Foundation


apontando para C:\Inetpub\wwwroot\ AdatumTestApp \web.config.

Especifique uma caixa URI de Aplicativo digitando


https://lon-svr1.adatum.com/AdatumTestApp/.

Selecione a opo Use an existing STS e insira um caminho


https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml.

Selecione a opo No encryption.

Configurao de servios avanados do Windows Server 2012

8-39

Tarefa 4: Configurar uma relao de confiana de terceira parte confivel


para o aplicativo com reconhecimento de declaraes
1.

Em LON-DC1, no console do AD FS, no painel intermedirio, clique em Necessrio: Adicionar


uma terceira parte confivel.

2.

Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o

Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.

Especifique um Nome para exibio de ADatum Test App.

Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.

Quando o assistente for concludo, aceite a opo para abrir Editar Regras de Declaraes
para ADatum Test App.

Tarefa 5: Configurar as regras de declarao para a relao de confiana


da terceira parte confivel
1.

Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Transformao de Emisso, escolha adicionar uma regra.

2.

Conclua o Assistente para Adicionar Regra de Declarao de Transformao com as seguintes


configuraes:

3.

Na lista suspensa Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao
de Entrada.

Nomeie a regra de declarao como Regra de Passagem de Nome de Conta do Windows.

Na lista suspensa Tipo de declarao de entrada, clique em Nome de conta do Windows.

Crie mais trs regras para passar o Endereo de Email, o UPN e a Declarao de tipo de nome.

Tarefa 6: Testar o acesso ao aplicativo com reconhecimento de declaraes


1.

Em LON-CL1, abra o Internet Explorer e conecte-se a https://lon-svr1.adatum.com/


AdatumTestApp/.

2.

Verifique se voc pode acessar o aplicativo.

Resultados: Depois de concluir esse exerccio, voc ter configurado o AD FS para uma organizao
nica. Para fazer isso, voc deve ter configurado um certificado de assinatura de token e uma relao de
confiana de provedor de declaraes para Adatum.com. Voc tambm deve ter configurado o aplicativo
de exemplo para confiar em declaraes de entrada e configurado uma relao de confiana de terceira
parte confivel e regras de declarao associadas. Voc tambm deve ter testado o acesso ao aplicativo
de exemplo do Windows Identity Foundation em um cenrio de organizao nica.

8-40 Implementao dos Servios de Federao do Active Directory

Exerccio 4: Configurao do AD FS para parceiros comerciais federados


Cenrio
O segundo cenrio de implantao permitir que os usurios da Trey Research acessem o aplicativo Web.
Voc planeja configurar a integrao do AD FS na Trey Research com o AD FS na A. Datum Corporation
e, em seguida, verificar se os usurios da Trey Research podem acessar o aplicativo. Voc tambm deseja
confirmar que pode configurar o acesso com base em grupos de usurios. Voc deve assegurar que todos
os usurios da A. Datum e apenas os usurios no grupo Produo na Trey Research possam acessar
o aplicativo.
As principais tarefas deste exerccio so:
1.

Adicionar uma relao de confiana do provedor de declaraes para o servidor do AD FS


em TreyResearch.net.

2.

Configurar uma relao de confiana de terceira parte confivel em MUN-DC1 para o aplicativo
com reconhecimento de declaraes da A. Datum.

3.

Verificar o acesso ao aplicativo de teste da A. Datum para usurios da Trey Research.

4.

Configurar regras de declarao para que as relaes de confiana do provedor de declaraes


e da terceira parte confivel permitam acesso apenas para um grupo especfico.

5.

Verifique as restries e a acessibilidade para o aplicativo com reconhecimento de declaraes.

Tarefa 1: Adicionar uma relao de confiana do provedor de declaraes


para o servidor do AD FS em TreyResearch.net
1.

Em LON-DC1, no console do AD FS, expanda Relaes de Confiana, clique em Confianas


do Provedor de Declaraes e clique em Adicionar Confiana do Provedor de Declaraes.

2.

Conclua o Assistente de Relao de Confiana do Provedor de Declaraes com as seguintes


configuraes:

3.

4.

Selecione Importar dados sobre o provedor de declaraes publicados online ou


em uma rede local e insira https://mun-dc1.treyresearch.net como a fonte de dados.

Em Nome para Exibio, digite mun-dc1.treyresearch.net.

Na caixa de dilogo Editar Regras para Declarao para mun-dc1.treyresearch.net,


use os seguintes valores:
o

Adicionar uma Regra para as Regras de Transformao de Aceitao.

Clique em Passar ou Filtrar uma Declarao de Entrada na lista Modelo de regra de entrada.

Use a regra Passar nome de conta do Windows como o nome da regra de declarao.

Escolha Nome de conta do Windows como o tipo de declarao de entrada escolha


Passar todos os valores de declarao.

Conclua a regra.

Em LON-DC1, execute o comando a seguir no Windows PowerShell.


Set-ADFSClaimsProviderTrust TargetName mun-dc1.treyresearch.net
SigningCertificateRevocationCheck None

Observao: Voc s dever desabilitar a verificao de revogao de certificado em


ambientes de teste. Em um ambiente de produo, a verificao de revogao de certificado
deve estar habilitada.

Configurao de servios avanados do Windows Server 2012

8-41

Tarefa 2: Configurar uma relao de confiana de terceira parte confivel


em MUN-DC1 para o aplicativo com reconhecimento de declaraes da A. Datum
1.

2.

Em MUN-DC1, no console do AD FS, abra o Assistente para Adicionar Relao de Confiana


de Terceira Parte Confivel e preencha-o com as configuraes seguintes:
o

Selecione a opo Importar dados sobre a terceira parte confivel publicada online
ou em uma rede local e digite https:// lon-dc1.adatum.com.

Especifique um Nome para exibio de Adatum TestApp.

Selecione a opo Permitir que todos os usurios acessem essa terceira parte confivel.

Aceite a opo para abrir Editar Regras de Declarao para Adatum TestApp quando o
assistente for concludo.

Na caixa de dilogo de propriedades de Editar Regras de Declarao para Adatum TestApp,


na guia Regras de Transformao de Emisso, clique para adicionar uma regra com as seguintes
configuraes:
o

Na lista de modelos de regra de declarao, clique em Passar ou Filtrar uma declarao


de Entrada.

Na caixa de texto Nome da regra de declarao, digite Regra de Passagem de nome


de conta do Windows.

Escolha Windows account name em Tipo de declarao de entrada.

Escolha Passar todos os valores de declarao.

Conclua as etapas do assistente.

Tarefa 3: Verificar o acesso ao aplicativo de teste da A. Datum para usurios


da Trey Research
1.

Em MUN-DC1, abra o Internet Explorer e conecte-se a


https://lon-svr1.adatum.com/adatumtestapp/.

2.

Selecione mun-dc1.treyresearch.net como o realm inicial e faa logon como TreyResearch\April,


com a senha Pa$$w0rd.

3.

Verifique se voc pode acessar o aplicativo.

4.

Feche o Internet Explorer e conecte-se ao mesmo site. Verifique se dessa vez voc no recebe
uma solicitao para um realm inicial.

Observao: Voc no recebe uma solicitao para informar novamente um realm inicial.
Depois que os usurios selecionarem um realm inicial e forem autenticados por uma autoridade
de realm, eles recebero um cookie _LSRealm emitido pelo servidor de federao de terceira
parte confivel. O tempo de vida padro do cookie 30 dias. Portanto, para fazer logon
vrias vezes, voc deve excluir esse cookie depois de cada tentativa de logon para voltar
a um estado limpo.

8-42 Implementao dos Servios de Federao do Active Directory

Tarefa 4: Configurar regras de declarao para que as relaes de confiana do


provedor de declaraes e da terceira parte confivel permitam acesso apenas para
um grupo especfico
1.

Em MUN-DC1, abra o console do AD FS, acesse a relao de confiana de terceira parte confivel
de Adatum TestApp.

2.

Adicione uma nova Regra de Transformao de Emisso que envia a associao de grupo como uma
declarao. Nomeie a regra como Regra de Permisso de Grupo de Produo, configure o Grupo
de Usurios como Production, configure o tipo de declarao de Sada como Grupo e o valor de
declarao de sada como Production.

3.

Em LON-DC1, no console do AD FS, edite a Regra do Provedor de Declaraes


mun-dc1.treyresearch.net para criar uma nova regra que passa ou filtra uma declarao de entrada
com a regra chamada Regra de Envio de Grupo de Produo. Configure a regra com um tipo
de declarao de entrada de Grupo.

4.

Edite a relao de confiana da terceira parte confivel Adatum Test App criando uma nova Regra
de Transformao de Emisso que passa ou filtra uma declarao de entrada. Nomeie a regra como
Regra de Envio de Nome de Grupo de TreyResearch e configure a regra para usar um tipo
de declarao de entrada de Grupo.

5.

Exclua a Regra de Autorizao de Emisso que concede acesso a todos os usurios.

6.

Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base na
declarao de entrada. Configure a regra com o nome Regra de Permisso de Grupo de Produo
de TreyResearch, um Tipo de Declarao de Entrada de Grupo, um Valor de declarao de
entrada de Production e selecione a opo para Permitir o acesso aos usurios com esta
declarao de entrada.

7.

Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base
na declarao de entrada. Configure a regra com o nome Temp, um Tipo de declarao de entrada
de UPN, um Valor de declarao de entrada de @adatum.com, selecione a opo para Permitir
o acesso aos usurios com esta declarao de entrada e clique em Concluir.

8.

Edite a regra Temp e copie o idioma da regra de declarao na rea de transferncia.

9.

Exclua a regra Temp.

10. Crie uma nova regra que envia declaraes usando uma regra personalizada chamada Regra
de Acesso do Usurio da ADatum.
11. Clique na caixa Regra personalizada e pressione Crtl + V para colar o contedo da rea de
transferncia na caixa. Edite a primeira URL para corresponder ao texto a seguir e clique em Concluir.
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Value =~
"^(?i).+@adatum\.com$"]=> issue(Type =
http://schemas.microsoft.com/authorization/claims/permit, Value =
PermitUsersWithClaim);

Configurao de servios avanados do Windows Server 2012

8-43

Tarefa 5: Verifique as restries e a acessibilidade para o aplicativo


com reconhecimento de declaraes
1.

Em MUN-DC1, abra o Internet Explorer e conecte-se


a https://lon-svr1.adatum.com/adatumtestapp/.

2.

Verifique se TreyResearch\April no tem mais acesso a A. Datum teste app.

3.

Limpe o histrico de navegao no Internet Explorer.

4.

Conecte-se a https://lon-svr1.adatum.com/adatumtestapp/.

5.

Verifique se TreyResearch\Morgan tem acesso a A. Datum test app. Morgan membro do grupo
Produo.

Resultados: Depois de concluir este exerccio, voc ter configurado uma relao de confiana do
provedor de declaraes para TreyResearch na Adatum.com e uma relao de confiana de terceira parte
confivel para Adatum em TreyResearch.net. Voc verificou acesso ao aplicativo com reconhecimento
de declaraes da A. Datum. Em seguida, voc configurou o aplicativo para restringir o acesso de
TreyResearch para grupos especficos e verificou o acesso apropriado.

Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-MUN-DC1


e clique em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-CL1, 24412B-LON-SVR1, e 24412B-LON-DC1.

8-44 Implementao dos Servios de Federao do Active Directory

Reviso e informaes complementares do mdulo


Perguntas de reviso
Pergunta: Quais so as vantagens de implantar o AD FS com um aplicativo ou servio
baseado na nuvem?
Pergunta: Em quais circunstncias voc optaria por implantar um servidor proxy de
federao? Em quais circunstncias voc no precisa implantar um servidor proxy
de federao?

Problemas comuns e dicas de soluo de problemas


Problema comum

Dica para a soluo de problemas

Erros de certificado no servidor de federao

Erros de certificado no cliente

Falha do aplicativo cliente na autenticao do AD FS

Problemas e cenrios reais


Pergunta: A Tailspin Toys est implantando um novo aplicativo Web baseado em
declaraes, que precisa estar acessvel aos usurios da Tailspin Toys e aos usurios da
Trey Research. Quais componentes do AD FS voc precisar implantar na Tailspin Toys
para permitir esse nvel de acesso?
Resposta: Voc deve implantar um proxy de servidor de federao. Alm disso, no servidor
de federao Tailspin Toys, ser necessrio configurar a relao de confiana de provedor de
declaraes do Active Directory e criar uma relao de confiana de provedor de declaraes
para a Trey Research. Tambm ser necessrio configurar uma relao de confiana de
terceira parte confivel no servidor de federao da Tailspin Toys para o aplicativo Web.
Pergunta: A Fabrikam, Inc. est examinando os requisitos de AD FS. A empresa deseja usar
um servidor proxy de federao para obter segurana mxima. Atualmente, a Fabrikam tem
uma rede interna com servidores DNS internos e seu DNS voltado para Internet hospedado
por uma empresa de hospedagem. A rede de permetro usa os servidores DNS da empresa
de hospedagem para resoluo de DNS. O que a empresa deve fazer para se preparar para
a implantao?
Resposta: O servidor proxy de federao deve ser capaz de resolver os endereos IP para
o servidor AD FS interno. Portanto, voc precisaria adicionar os servidores AD FS internos a
um arquivo Hosts no servidor proxy de federao ou alterar a maneira como os servidores
de rede de permetro resolvem nomes.

9-1

Mdulo 9
Implementao do Balanceamento de Carga de Rede
Contedo:
Viso geral do mdulo

9-1

Lio 1: Viso geral do NLB

9-2

Lio 2: Configurao de um cluster NLB

9-6

Lio 3: Planejamento de uma implementao do NLB

9-13

Laboratrio: Implementao do Balanceamento de Carga de Rede

9-19

Reviso e informaes complementares do mdulo

9-24

Viso geral do mdulo


O Balanceamento de Carga de Rede (NLB) um componente de rede do Windows Server. O NLB usa
um algoritmo distribudo para balancear a carga do trfego IP por vrios hosts. Ele ajuda a melhorar
a escalabilidade e a disponibilidade dos servios de negcios crticos baseados em IP. O NLB tambm
fornece alta disponibilidade, porque detecta falhas de host e redistribui automaticamente o trfego
para os hosts sobreviventes.
Para implantar o NLB com eficincia, voc deve compreender sua funcionalidade e os cenrios em que
a implantao apropriada. A atualizao principal para o NLB no Windows Server 2012 a incluso de
um conjunto abrangente dos cmdlets do Windows PowerShell. Esses cmdlets aprimoram a capacidade
de automatizar o gerenciamento dos clusters NLB do Windows Server 2012. O console do Balanceamento
de Carga de Rede, que tambm est disponvel no Windows Server 2008 e no Windows Server 2008 R2,
tambm est presente no Windows Server 2012
Este mdulo apresenta o NLB e mostra como implantar essa tecnologia. Ele aborda tambm as situaes
nas quais o NLB apropriado, como configurar e gerenciar clusters NLB, e como executar as tarefas
de manuteno nos clusters NLB.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever o NLB.

Explicar como configurar um cluster NLB.

Explicar como planejar uma implementao do NLB.

9-2

Implementao do Balanceamento de Carga de Rede

Lio 1

Viso geral do NLB


Antes de implantar o NLB, necessrio compreender os tipos de cargas de trabalho de servidor nos quais
essa tecnologia de alta disponibilidade apropriada. Se voc no compreender a funcionalidade do NLB,
possivelmente voc a implantar de uma maneira que no atenda aos seus objetivos gerais. Por exemplo,
voc precisa compreender por que o NLB apropriado para aplicativos Web, mas no para os bancos
de dados do Microsoft SQL Server.
Esta lio fornece uma viso geral do NLB e dos recursos novos do NLB no Windows Server 2012. Ela
descreve tambm como o NLB trabalha normalmente, e como ele funciona durante a falha do servidor
e a recuperao do servidor.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever a tecnologia NLB.

Descrever como o NLB funciona.

Explicar como o NLB acomoda as falhas e a recuperao do servidor.

Descrever novos recursos do NLB no Windows Server 2012.

O que o NLB?
O NLB um recurso escalonvel e de alta
disponibilidade que voc pode instalar em
todas as edies do Windows Server 2012.
Uma tecnologia escalonvel na qual voc
pode adicionar outros componentes (nesse
caso, os ns de cluster adicionais) para atender
crescente demanda. Um n em um cluster
NLB do Windows Server 2012 um computador,
fsico ou virtual, que est executando o sistema
operacional Windows Server 2012.
Os clusters NLB do Windows Server 2012 podem
ter entre 2 e 32 ns. Quando voc criar um cluster
NLB, ele criar um endereo de rede virtual e um adaptador de rede virtual. O adaptador de rede virtual
tem um endereo IP e um endereo de controle de acesso mdia (MAC). O trfego de rede para esse
endereo distribudo uniformemente entre os ns do cluster. Em uma configurao de NLB bsica, cada
n em um cluster NLB atender s solicitaes a uma taxa que aproximadamente igual a de todos os
outros ns do cluster. Quando um cluster NLB receber uma solicitao, ele encaminhar essa solicitao
para o n que utilizado menos no momento. Voc pode configurar o NLB para preferir alguns ns
a outros.
O NLB reconhece falhas. Isso significa que, se um dos ns no cluster NLB ficar offline, as solicitaes no
sero mais encaminhadas para esse n, mas os outros ns no cluster continuaro aceitando solicitaes.
Quando o n com falha voltar a atender, as solicitaes de entrada sero redirecionadas at que o trfego
seja balanceado entre todos os ns do cluster.

Configurao de servios avanados do Windows Server 2012

9-3

Como o NLB funciona


Quando voc configurar um aplicativo para
usar o NLB, os clientes trataro o aplicativo
usando o endereo de cluster NLB, no lugar do
endereo dos ns que participam do cluster NLB.
O endereo de cluster NLB um endereo virtual
compartilhado entre os hosts do cluster NLB.
O NLB direciona o trfego da seguinte maneira:
Todos os hosts do cluster NLB recebem o trfego
de entrada, mas apenas um n no cluster, que
determinado atravs do processo do NLB,
aceitar esse trfego. Todos os outros ns
no cluster NLB removero o trfego.
O n do cluster NLB que aceitar o trfego ser determinado pela configurao das regras de portas e
pelas configuraes de afinidade. Atravs dessas configuraes, voc poder determinar se o trfego que
usa uma porta e um protocolo especficos ser aceito por um n especfico ou se qualquer n do cluster
poder aceitar e responder.
O NLB tambm envia trfego aos ns baseados na utilizao do n atual. O novo trfego direcionado
para os ns que esto sendo menos utilizados. Por exemplo, se voc tiver um cluster de quatro n em
que trs deles estejam respondendo s solicitaes de 10 clientes e um esteja respondendo s solicitaes
de 5 clientes, o n que tem menos clientes receber mais trfego de entrada at que a utilizao seja
mais uniformemente balanceada pelos ns.

Como o NLB lida com as falhas e a recuperao do servidor


O NLB pode detectar a falha dos ns de cluster.
Quando um n de cluster estiver em um estado
de falha, ele ser removido do cluster, e o cluster
no direcionar novo trfego para o n. A falha
detectada por meio de pulsaes. As pulsaes
do cluster NLB so transmitidas a cada segundo
entre os ns de um cluster. Um n ser removido
automaticamente de um cluster NLB se perder
cinco pulsaes consecutivas. As pulsaes so
transmitidas por uma rede que normalmente
diferente da rede que o cliente usa para acessar
o cluster. Quando um n adicionado ou
removido de um cluster, ocorre um processo conhecido como convergncia. A convergncia permite que
o cluster determine sua configurao atual. A convergncia s poder ocorrer se cada n for configurado
com as mesmas regras de porta.
Os ns podem ser configurados para reassociar um cluster automaticamente definindo a configurao
Estado inicial do host nas propriedades do n que usam o Gerenciador de Balanceamento de Carga de
Rede. Por padro, um host que membro de um cluster tentar reassociar esse cluster automaticamente.
Por exemplo, aps aplicar uma atualizao de software, se voc reinicializar um servidor membro de um
cluster NLB, o servidor reassociar o cluster automaticamente depois que o processo de reinicializao
for concludo.

9-4

Implementao do Balanceamento de Carga de Rede

Os administradores podem adicionar ou remover ns manualmente dos clusters NLB. Quando


um administrador remover um n, eles podero optar por executar a ao Parada ou Interrupo
de descarga. A ao Parada encerra todas as conexes existentes ao n de cluster e interrompe
o servio NLB. A ao Interrupo de descarga bloqueia todas as novas conexes sem encerrar as
sesses existentes. Quando todas as sesses atuais forem encerradas, o servio NLB ser interrompido.
O NLB s pode detectar a falha do servidor; ele no pode detectar a falha do aplicativo. Isso significa que,
se um aplicativo Web apresentar falha, mas o servidor continuar funcionando, o cluster NLB continuar
encaminhando o trfego para o n de cluster que hospeda o aplicativo com falha. Um mtodo para
gerenciar esse problema a implementao de uma soluo de monitoramento como o Microsoft System
Center 2012 - Operations Manager. Com o Operations Manager, voc pode monitorar a funcionalidade
dos aplicativos. Voc tambm pode configurar o Operations Manager para gerenciar um alerta caso
um aplicativo em um n de cluster apresente falha. Um alerta, por sua vez, pode configurar uma ao
corretiva, como reiniciar servios, reiniciar o servidor ou retirar o n do cluster NLB de modo que ele
no receba mais trfego de entrada.

Recurso do NLB no Windows Server NLB 2012


A alterao mais significativa do NLB
no Windows Server 2012 a incluso
do suporte ao Windows PowerShell.
O NetworkLoadBalancingClusters mdulo
contm 35 cmdlets relacionados ao NLB.
Este mdulo disponibilizado em um servidor
quando as Ferramentas de Administrao
de Servidor Remoto do NLB so instaladas.
Os cmdlets do Windows PowerShell tm
os seguintes nomes:

NlbClusterNode. Use para gerenciar um n


de cluster. Inclui os verbos Adicionar, Obter,
Remover, Retomar, Definir, Iniciar, Parar e Suspender.

NlbClusterNodeDip. Use para configurar o IP de gerenciamento dedicado do n de cluster.


Inclui os verbos Adicionar, Obter, Remover e Definir.

NlbClusterPortRule. Use para gerenciar regras de porta. Inclui os verbos Adicionar, Desabilitar,
Habilitar, Obter, Remover e Definir.

NlbClusterVip. Use para gerenciar o IP virtual do cluster NLB. Inclui os verbos Adicionar, Obter,
Remover e Definir.

NlbCluster. Use para gerenciar o cluster NLB. Inclui os termos Obter, Novo, Remover, Retomar,
Definir, Iniciar, Parar e Suspender.

NlbClusterDriverInfo. Fornece informaes sobre o driver de cluster NLB. Inclui o verbo Obter.

NlbClusterNodeNetworkInterface. Use para recuperar informaes sobre o driver de interface


de rede de um n de cluster. Inclui o verbo Obter.

Configurao de servios avanados do Windows Server 2012

9-5

NlbClusterIpv6Address. Use para configurar o endereo IPv6 do cluster. Inclui o termo Novo.

NlbClusterPortRuleNodeHandlingPriority. Use para definir a prioridade com base em uma regra


de porta. Suporta o verbo Definir.

NlbClusterPortRuleNodeWeight. Use para definir o peso do n com base em uma regra de porta.
Suporta o verbo Definir.

Observao: Para consultar a lista de cmdlets do Windows PowerShell para NLB,


use o comando get-command module NetworkLoadBalancingClusters.

9-6

Implementao do Balanceamento de Carga de Rede

Lio 2

Configurao de um cluster NLB


Para implantar o NLB com xito, voc deve primeiro compreender os requisitos da respectiva
implantao. Voc tambm deve ter planejado a maneira em que usar as regras de porta e as
configuraes de afinidade para garantir que o trfego para o aplicativo que est sendo hospedado
no cluster NLB seja gerenciado adequadamente.
Esta lio fornece informaes sobre os requisitos de infraestrutura que devem ser considerados antes
de implantar o NLB. Ela fornece tambm informaes importantes sobre como configurar ns e clusters
NLB para atender melhor aos seus objetivos.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever os requisitos de implantao do NLB.

Descrever como implementar o NLB.

Explicar as opes de configurao do NLB.

Explicar como configurar a afinidade e as regras de porta do NLB.

Descrever as consideraes da rede para NLB.

Requisitos de implantao do NLB


O NLB requer que todos os hosts do cluster NLB
residam na mesma sub-rede TCP/IP. Embora as
sub-redes TCP/IP possam ser configuradas para
atravessar vrios locais geogrficos, improvvel
que os clusters NLB atinjam a convergncia
com xito se a latncia entre ns exceder
250 milissegundos (ms). Quando voc estiver
criando geograficamente clusters NLB dispersos,
dever optar por implantar um cluster NLB
em cada site e, em seguida, usar o round robin
do Sistema de Nomes de Domnio (DNS)
para distribuir o trfego entre os sites.
Todos os adaptadores de rede de um cluster NLB devem ser configurados como unicast ou multicast.
Voc no pode configurar um cluster NLB no qual haja uma mistura de adaptadores unicast e multicast.
Ao usar o modo unicast, o adaptador de rede deve oferecer suporte alterao do seu endereo MAC.
Voc s pode usar protocolo TCP/IP com adaptadores de rede que participam de clusters NLB. O NLB
oferece suporte a IPv4 e IPv6. Os endereos IP de servidores que participam de um cluster NLB devem
ser esttico e no devem ser alocados dinamicamente. Quando voc instala o NLB, o protocolo DHCP
desabilitado em cada interface configurada para participar do cluster.
Todas as edies do Windows Server 2012 oferecem suporte ao NLB. A Microsoft oferece suporte a
clusters NLB com ns que esto sendo executados em edies diferentes do Windows Server 2012.
No entanto, como prtica recomendada, os ns de cluster NLB devem ser computadores com
especificaes de hardware semelhantes e que estejam executando a mesma edio do sistema
operacional Windows Server 2012.

Configurao de servios avanados do Windows Server 2012

9-7

Demonstrao: Implantao do NLB


Esta demonstrao mostra como criar um cluster NLB do Windows Server 2012.

Etapas da demonstrao
Criao de um cluster NLB do Windows Server 2012
1.

Entre no servidor LON-SVR1 usando a conta ADATUM\Administrador.

2.

No menu Ferramentas, abra o Ambiente de Script Integrado (ISE) do Windows PowerShell.

3.

Digite os seguintes comandos, pressionando Enter aps cada comando:


Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-WindowsFeature
NLB,RSAT-NLB}
New-NlbCluster -InterfaceName "Conexo Local" -OperationMode Multicast ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB
Add-NlbClusterNode -InterfaceName "Conexo Local" -NewNodeName "LON-SVR2" NewNodeInterface "Conexo Local"

4.

Abra o Gerenciador de Balanceamento de Carga de Rede no menu Ferramentas e exiba o cluster.

Opes de configurao do NLB


A configurao dos clusters NLB envolve a
especificao de como os hosts do cluster
respondero ao trfego de rede de entrada.
A maneira como o NLB direcionar o trfego
depender da porta e do protocolo que ele
est usando, e se o cliente tem uma sesso
de rede existente com um host no cluster.
Voc pode definir essas configuraes usando as
regras de porta e as configuraes de afinidade.

Regras de porta
Com as regras de porta, voc pode configurar
como o cluster NLB direcionar as solicitaes
a endereos IP e portas especficos. Voc pode carregar o trfego de balanceamento de carga na porta
TCP 80 em todos os ns de um cluster NLB, enquanto direciona todas as solicitaes na porta TCP 25
para um host especfico.

9-8

Implementao do Balanceamento de Carga de Rede

Para especificar como deseja distribuir as solicitaes entre os ns no cluster, configure um modo
de filtragem ao criar uma regra de porta. Voc pode fazer isso na caixa de dilogo Adicionar/editar
regra de porta, que voc pode usar para configurar um dos seguintes modos de filtragem:

Vrios hosts. Quando voc configurar este modo, todos os ns NLB respondero de acordo com o
peso atribudo a cada n. O peso do n calculado automaticamente, com base nas caractersticas
de desempenho do host. Se um n falhar, outros ns do cluster continuaro respondendo s
solicitaes de entrada. A filtragem de vrios hosts aumenta a disponibilidade e a escalabilidade,
j que voc pode aumentar capacidade adicionando ns, e o cluster continua funcionando caso
ocorra alguma falha no n.

Host nico. Quando voc configurar este modo, o cluster NLB direcionar o trfego para o n que
tem a prioridade mais alta. Caso o n com a prioridade mais alta no esteja disponvel, o host que
recebeu a prxima prioridade mais alta gerenciar o trfego de entrada. As regras de host nico
aumentam a disponibilidade, mas no aumentam a escalabilidade.

Observao: A prioridade mais alta o nmero mais baixo, sendo a prioridade 1 mais alta
que a prioridade 10.

Desabilitar este intervalo de porta. Quando voc configurar esta opo, todos os pacotes deste
intervalo de porta so removido, sem serem encaminhados para nenhum outro n de cluster.
Se voc no desabilitar um intervalo de porta e no houver nenhuma regra de porta existente,
o trfego ser encaminhado para o host com o nmero de prioridade mais baixo.

Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar as regras de porta:

Add-NlbClusterPortRule. Use este cmdlet para adicionar uma nova regra de porta.

Disable-NlbClusterPortRule. Use este cmdlet para desabilitar uma regra de porta existente.

Enable-NlbClusterPortRule. Use este cmdlet para habilitar uma regra de porta desabilitada.

Set-NlbClusterPortRule. Use este cmdlet para modificar as propriedades de uma regra


de porta existente.

Remove-NlbClusterPortRule. Use este cmdlet para remover uma regra de porta existente.

Observao: Cada n em um cluster deve ter regras de porta idnticas. A exceo o peso
da carga (no modo vrios hosts e a prioridade de tratamento (no modo de filtro host nico).
Caso contrrio, se as regras de porta no forem idnticas, o cluster no convergir.

Configurao de servios avanados do Windows Server 2012

Afinidade
A afinidade determina como o cluster NLB distribuir as solicitaes de um cliente especfico.
As configuraes de afinidade s entraro em vigor quando voc estiver usando o modo
de filtragem vrios hosts. Voc pode selecionar entre os seguintes modos de afinidade:

Nenhuma. Neste modo, qualquer n de cluster responde a qualquer solicitao de cliente,


at mesmo se o cliente estiver estabelecendo uma reconexo depois de uma interrupo.
Por exemplo, a primeira pgina da Web em um aplicativo Web poderia ser recuperada do
terceiro n, a segunda pgina da Web do primeiro n, e a terceira pgina da Web do segundo
n. Esse modo de afinidade satisfatrio para aplicativos sem monitorao de estado.

nica. Quando voc usar esse modo de afinidade, um nico n de cluster tratar todas as
solicitaes em um nico cliente. Por exemplo, se o terceiro n em um cluster tratar a primeira
solicitao de um cliente, todas as solicitaes subsequentes tambm sero tratadas por esse n.
Esse modo de afinidade til para aplicativos sem monitorao de estado.

Classe C. Quando voc definir esse modo, um nico n responder a todas as solicitaes de uma
rede de classe C (que usa a mscara de sub-rede 255.255.255.0). Esse modo til para aplicativos
com monitorao de estado em que o cliente est acessando o cluster NLB atravs de servidores
proxy com carga balanceada. Esses servidores proxy tero endereos IP diferentes, mas estaro
no mesmo bloco de sub-rede de classe C (24 bits).

Parmetro de host
Voc configura os parmetros de um host clicando no host no console do Gerenciador de
Balanceamento de Carga de Rede e, em seguida, no menu Host, clicando em Propriedades.
Voc pode definir as seguintes configuraes de host para cada n NLB:

Prioridade. Cada n NLB recebe um valor de prioridade exclusivo. Se nenhuma regra de porta
existente corresponder ao trfego endereado ao cluster, o trfego ser atribudo ao n NLB
que recebeu o valor de prioridade mais baixo.

Endereo IP dedicado. Voc pode usar este parmetro para especificar o endereo que o host
usa para tarefas de gerenciamento remotas. Quando voc configurar um endereo IP dedicado,
o NLB configurar as regras de porta de forma que elas no afetem trfego para esse endereo.

Mscara de sub-rede. Quando voc estiver selecionando uma mscara de sub-rede, verifique
se h bits de host suficientes para oferecer suporte ao nmero de servidores do cluster NLB e a
qualquer roteador que conecta o cluster NLB ao restante da rede organizacional. Por exemplo,
se voc pretende ter um cluster com 32 ns e oferece suporte a duas rotas para o cluster NLB,
ser necessrio definir uma mscara de sub-rede que oferea suporte a 34 bits de host ou mais
por exemplo, 255.255.255.192.

Estado inicial do host. Voc pode usar este parmetro para especificar as aes o host executar
aps uma reinicializao. O estado padro Iniciado far com que o host reingresse o cluster NLB
automaticamente. O estado Suspenso pausa o host, permitindo que voc execute operaes
que requerem vrias reinicializaes sem disparar a convergncia do cluster. O estado Parado
interrompe o n.

9-9

9-10 Implementao do Balanceamento de Carga de Rede

Demonstrao: Configurao das regras de porta e da afinidade do NLB


Nesta demonstrao, voc ver como:

Configurar a afinidade dos ns de cluster NLB

Configurar regras de porta do NLB

Etapas da demonstrao
Configurar a afinidade dos ns de cluster NLB
1.

Em LON-SVR2, na barra de tarefas, clique no cone do Windows PowerShell.

2.

No Windows PowerShell, digite cada um dos seguintes comandos, pressionando Enter depois de cada
um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website Name PortTest PhysicalPath C:\porttest Port 5678
New-NetFirewallRule DisplayName PortTest Protocol TCP LocalPort 5678

Configurar as regras de porta do NLB


3.

Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede.

4.

Remova a regra Tudo.

5.

No Gerenciador de Balanceamento de Carga de Rede, edite as propriedades do cluster LON-NLB.

6.

Adicione uma regra de porta com as seguintes propriedades:

7.

Intervalo de portas: 80 A 80

Protocolos: Ambos

Modo de filtragem: Vrios hosts

Afinidade: Nenhuma

Crie uma regra de porta com as seguintes propriedades:


o

Intervalo de portas: 5678 A 5678

Protocolos: Ambos

Modo de filtragem: Host nico

8.

Edite as propriedades de host de LON-SVR1.

9.

Configure a regra da porta 5678 e defina a prioridade de tratamento para 10.

Configurao de servios avanados do Windows Server 2012

9-11

Consideraes da rede para o NLB


Quando voc estiver criando uma rede para
oferecer suporte a um cluster NLB, dever
considerar vrios fatores. A deciso principal
se voc deseja configurar o cluster NLB para
usar o modo de operao de cluster Unicast
ou Multicast.

Modo unicast
Quando voc configurar um cluster NLB para
usar o modo unicast, todos os hosts de cluster
usaro o mesmo endereo MAC unicast.
O trfego de sada usa um endereo MAC
modificado que determinado pela configurao
de prioridade do host de cluster. Isso impede que a opo que trata o trfego de sada tenha problemas
com todos os hosts de cluster que usam o mesmo endereo MAC.
Quando voc usar modo unicast com um nico adaptador de rede em cada n, somente os
computadores que usam a mesma sub-rede podero se comunicar com o n que usa o endereo IP
atribudo do n. Se voc precisar executar qualquer tarefa de gerenciamento de n (como estabelecer
uma conexo usando o recurso rea de Trabalho Remota do Windows para aplicar atualizaes de
software), ser necessrio executar essas tarefas de um computador que esteja na mesma sub-rede
TCP/IP do n.
Quando voc usar o modo unicast com dois ou mais adaptadores de rede, um adaptador ser usado
para comunicao dedicada do cluster e o(s) outro(s) adaptador(es) poder(o) ser usado(s) para tarefas
de gerenciamento. Quando voc usar o modo unicast com vrios adaptadores de rede, poder executar
tarefas de gerenciamento de cluster, como estabelecer uma conexo usando o PowerShell Remoto para
adicionar ou remover funes e recursos.
O modo unicast tambm pode minimizar os problemas que ocorrem quando os ns de cluster tambm
hospedam outras funes ou servios no relacionados ao NLB. Por exemplo, o uso do modo unicast
significa que um servidor que participa de um cluster de servidores Web na porta 80 tambm pode
hospedar outro servio, como DNS ou DHCP. Embora isso seja possvel, recomendamos que todos
os ns de cluster tenham a mesma configurao.

Modo multicast
Quando voc configurar um cluster NLB para usar o modo multicast, cada host de cluster mantm seu
endereo MAC original, mas tambm recebe um endereo MAC multicast adicional. Cada n no cluster
recebe o mesmo endereo multicast MAC adicional. O modo multicast requer comutadores de rede
e roteadores que ofeream suporte a endereos MAC multicast.

9-12 Implementao do Balanceamento de Carga de Rede

Multicast IGMP
O modo multicast IGMP uma forma especial de modo multicast que impede que o comutador de
rede seja inundado com o trfego. Quando voc implantar o modo multicast IGMP, o trfego ser
encaminhado apenas atravs das portas de comutador que participam do cluster NLB. O modo
multicast IGMP requer um hardware de comutador que oferea suporte a essa funcionalidade.

Consideraes sobre a rede


Voc pode melhorar o desempenho do cluster NLB n o modo unicast usando redes local virtuais (VLANs)
separadas para trfego de cluster e trfego de gerenciamento. O uso das VLANs segmenta o trfego,
impedindo que o trfego de gerenciamento afete o trfego de cluster. Quando voc hospedar ns NLB
em mquinas virtuais que usam o Windows Server 2012, tambm poder usar a virtualizao de rede
para segmentar o trfego de gerenciamento do trfego de cluster.

Configurao de servios avanados do Windows Server 2012

9-13

Lio 3

Planejamento de uma implementao do NLB


Quando voc estiver planejando uma implementao do NLB, dever assegurar que os aplicativos que
voc implanta so apropriados para o NLB. Nem todos os aplicativos so adequados para a implantao
em clusters NLB, e importante voc ser capaz de identificar quais deles podem se beneficiar com essa
tecnologia. Tambm necessrio saber quais etapas voc pode executar para proteger o NLB, e estar
familiarizado com as opes que permitem dimensionar o NLB, se o aplicativo hospedado no cluster
NLB precisar de maior capacidade.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Explicar como criar o suporte a aplicativo e armazenamento para NLB.

Descrever as consideraes especiais para a implantao de clusters NLB nas mquinas virtuais.

Descrever as opes que voc pode implementar para proteger o NLB.

Descrever as opes para dimensionar o NLB.

Descrever o mtodo que voc pode usar para atualizar um cluster NLB para o Windows Server 2012.

Criao de suporte a aplicativos e armazenamento para NLB


Como os clientes podem ser redirecionados
para qualquer n em um cluster NLB, cada
n do cluster deve ser capaz de fornecer
uma experincia consistente. Portanto,
quando voc estiver criando suporte a aplicativo
e armazenamento para aplicativos NLB, dever
assegurar que configurou cada n da mesma
maneira, e que cada n tem acesso aos mesmos
dados.
Quando um aplicativo altamente disponvel
tiver vrias camadas, como um aplicativo Web
com uma camada de banco de dados SQL Server,
a camada de aplicativo Web ser hospedada em um cluster NLB. O SQL Server, como um aplicativo
com monitorao de estado, no altamente disponibilizado por meio do NLB. Em vez disso, voc
usa tecnologias como cluster de failover, espelhamento ou Grupos de Disponibilidade AlwaysOn,
para tornar a camada de banco de dados SQL Server altamente disponvel.
Todos os hosts em um cluster NLB devem executar os mesmos aplicativos e serem configurados
da mesma maneira. Quando voc estiver usando aplicativos Web, poder usar a funcionalidade
de configurao compartilhada dos Servios de Informaes da Internet (IIS) 8.0 para assegurar
que todos os ns do cluster NLB esto configurados da mesma maneira.
Voc tambm pode usar tecnologias, como compartilhamentos de arquivos hospedados nos
Volumes Compartilhados do Cluster (CSVs) para hospedar informaes de configurao de aplicativo.
Os compartilhamentos de arquivos hospedados nos CSVs permitem que vrios hosts tenham acesso
a dados de aplicativos e informaes de configurao. Os compartilhamentos de arquivos hospedados
nos CSVs so um recurso do Windows Server 2012.

9-14 Implementao do Balanceamento de Carga de Rede

Consideraes sobre a implantao de um cluster NLB


em mquinas virtuais
Como as organizaes fazem a transio
de implantaes fsicas para virtuais, os
administradores devem considerar vrios
fatores ao determinar o posicionamento dos
ns de cluster NLB nos hosts Hyper-V. Isso
inclui a configurao de rede das mquinas
virtuais, a configurao dos hosts Hyper-V
e os benefcios do uso dos recursos de alta
disponibilidade do Hyper-V em conjunto
com o NLB.

Posicionamento de mquina virtual?


Voc deve posicionar os ns de cluster NLB em
discos rgidos separados no host do Hyper-V. Desse modo, se um disco ou matriz de disco falhar, mesmo
que um n fique indisponvel, outros ns de cluster NLB hospedados no mesmo host do Hyper-V
permanecero online. Como prtica recomendada, voc deve configurar o host do Hyper-V com
hardware redundante, incluindo discos redundantes, adaptadores de rede e fontes de alimentao. Isso
minimizar as chances de uma falha de hardware no host do Hyper-V fazer com que todos os ns em um
cluster NLB fiquem indisponveis. Quando voc estiver usando vrios adaptadores de rede, configure a
equipe da rede para assegurar que as mquinas virtuais conseguiro manter o acesso rede mesmo que
um hardware de adaptador de rede apresente falha.
Quando possvel, implante ns NLB de mquina virtual em hosts Hyper-V separados. Quando voc
estiver planejando esse tipo de configurao, assegure que as mquinas virtuais que participam
do cluster NLB estejam na mesma sub-rede TCP/IP. Isso proteger o cluster NLB de outros tipos
de falha de servidor, como a falha de uma placa-me ou qualquer outro ponto nico de falha.

Configurao da rede da mquina virtual


Como a adio de adaptadores de rede virtual adicionais um processo simples, voc pode configurar
o cluster NLB para usar o modo unicast e, em seguida, implantar cada mquina virtual com vrios
adaptadores de rede. Voc deve criar comutadores virtuais separados para trfego de cluster e trfego
de gerenciamento de n, pois a segmentao do trfego pode melhorar o desempenho. Voc tambm
pode usar a virtualizao da rede para particionar o trfego de cluster do trfego de gerenciamento de
n. possvel usar as marcas VLAN como mtodo de particionamento do trfego de cluster do trfego
de gerenciamento de n.
Quando voc estiver usando o modo unicast, verifique se habilitou a falsificao de endereo MAC
para o adaptador de rede virtual no host do Hyper-V. Faa isso editando as configuraes do adaptador
de rede virtual na caixa de dilogo Configuraes da Mquina Virtual, que est disponvel no
Gerenciador Hyper-V. A habilitao da falsificao do endereo MAC permite que o modo unicast
configure a atribuio do endereo MAC no adaptador de rede virtual.

Configurao de servios avanados do Windows Server 2012

9-15

Cluster NLB x alta disponibilidade da mquina virtual


A alta disponibilidade da mquina virtual o processo de posicionamento das mquinas virtuais
em clusters de failover. Quando um n do cluster de failover apresentar falha, a mquina virtual far
failover de modo que ela seja hospedada em outro n. Mesmo que o cluster de failover e o NLB sejam
tecnologias de alta disponibilidade, eles tm finalidades diferentes. O cluster de failover oferece suporte
a aplicativos com monitorao de estado, como o SQL Server, ao passo que o NLB adequado para
aplicativos sem monitorao de estado, como os sites. As mquinas virtuais altamente disponveis no
permitem que um aplicativo seja dimensionado, porque voc no pode adicionar ns para aumentar
a capacidade. No entanto, possvel implantar ns de cluster NLB como mquinas virtuais altamente
disponveis. Nesse cenrio, os ns de cluster NLB fazem fail over em um novo host do Hyper-V, caso
o host do Hyper-V original apresente falha.
O grau de disponibilidade e redundncia necessrio variar, dependendo do aplicativo. Um aplicativo
de negcios crtico que custa milhes de dlares para uma organizao quando est inativo requer
uma disponibilidade diferente da oferecida por um aplicativo que causar inconvenincia mnima
se estiver offline.

Consideraes sobre a proteo do NLB


Os clusters NLB so quase sempre usados para
hospedar aplicativos Web importantes para a
organizao. Devido a essa importncia, voc
deve tomar providncias para proteger o NLB,
restringindo o trfego que pode enderear
o cluster e assegurando que as permisses
apropriadas sero aplicadas.

Configurao de regras de porta


Ao proteger clusters NLB, primeiro voc
deve assegurar que criou regras de porta
para bloquear o trfego para todas as portas
que no so usadas pelos aplicativos hospedados
no cluster NLB. Quando voc fizer isso, todo o trfego de entrada que no estiver especificamente
endereado a aplicativos em execuo no cluster NLB ser removido. Se voc no executar essa primeira
etapa, todo o trfego de entrada no gerenciado por uma regra de porta ser encaminhado para o n
de cluster com o valor de prioridade de cluster mais baixo.

Configurao das regras de firewall


Voc tambm deve assegurar que o Firewall do Windows com Segurana Avanada esteja configurado
em cada n de cluster NLB. Quando voc habilitar o NLB em um n de cluster, as seguintes regras de
firewall que permitem que o NLB funcione e se comunique com outros ns do cluster sero criadas
e habilitadas automaticamente:

Balanceamento de Carga de Rede (DCOM-In)

Balanceamento de Carga de Rede (ICMP4-ERQ-In)

Balanceamento de Carga de Rede (ICMP6-ERQ-In)

Balanceamento de Carga de Rede (RPCSS)

Balanceamento de Carga de Rede (WinMgmt-In)

9-16 Implementao do Balanceamento de Carga de Rede

Balanceamento de Carga de Rede (ICMP4-DU-In)

Balanceamento de Carga de Rede (ICMP4-ER-In)

Balanceamento de Carga de Rede (ICMP6-DU-In)

Balanceamento de Carga de Rede (ICMP6-EU-In)

Quando criadas, essas regras de firewall no incluem configuraes de escopo. Em ambientes de alta
segurana, voc configurar um endereo IP local ou intervalo de endereos IP apropriados e um
endereo IP remoto para cada uma dessas regras. O endereo IP remoto ou intervalo de endereos
IP remotos deve incluir os endereos usados pelos outros hosts do cluster.
Quando voc estiver configurando regras de firewall adicionais, lembre-se do seguinte:

Quando estiver usando vrios adaptadores de rede no modo unicast, configure regras de firewall
diferentes para cada interface de rede. Para a interface usada nas tarefas de gerenciamento, voc
deve configurar as regras de firewall para permitir somente o trfego de gerenciamento de entrada,
habilitando, por exemplo, o uso do Windows PowerShell remoto, do Gerenciamento Remoto
do Windows (WinRM) e da rea de Trabalho Remota para tarefas de gerenciamento. Voc
deve configurar as regras de firewall na interface de rede usada pelo n de cluster para fornecer
um aplicativo ao cluster e permitir o acesso a esse aplicativo. Por exemplo, permita o trfego
de entrada nas portas TCP 80 e 443 em um aplicativo que usa os protocolos HTTP e HTTPS.

Quando voc estiver usando vrios adaptadores de rede no modo multicast, configure regras
de firewall que permitam o acesso aos aplicativos hospedados no cluster, mas que bloqueiem
o acesso s outras portas.

Configurao dos aplicativos para que respondam somente ao trfego endereado


ao cluster
Voc deve configurar aplicativos em cada n para que respondam somente ao trfego endereado ao
cluster e para que ignorem o trfego de aplicativo endereado ao n individual. Por exemplo, se voc
implantar um aplicativo Web criado para responder ao trfego endereado a www.adatum.com, haver
um site em cada n que aceitar o trfego na porta 80. Dependendo da configurao de cluster NLB,
possvel que o trfego endereado ao n na porta 80 gere uma resposta direta. Por exemplo, talvez os
usurios possam acessar o aplicativo Web A. Datum digitando o endereo http://nlb-node-3.adatum.com
em um navegador, em vez de digitar o endereo http://www.adatum.com. Voc pode proteger
aplicativos desse tipo de trfego direto configurando-os para responderem somente ao trfego que
usa o endereo de cluster NLB. Para aplicativos Web, voc pode fazer isso configurando o site para
usar um cabealho de host. Cada aplicativo executado em um cluster NLB ter seu prprio mtodo
exclusivo para permitir que voc configure o aplicativo para responder somente ao trfego
direcionado no cluster, e no no n de cluster individual.

Proteo do trfego com SSL


Todos os sites do NLB devem usar o mesmo nome de site. Quando voc estiver protegendo sites
que tornar altamente disponveis atravs do NLB, ser necessrio assegurar que cada site tenha um
certificado SSL que corresponda ao nome do site. Voc pode usar cabealhos de host em cada n.
Na maioria dos casos, voc instalar o mesmo certificado de site em cada n do cluster NLB, porque
isso mais simples do que adquirir certificados separados para cada n de cluster. Em alguns casos,
voc precisar adquirir certificados que ofeream suporte a nomes alternativos de entidade (SANs).
Os certificados que oferecem suporte aos SANs permitem que um servidor seja identificado por vrios
nomes, como o nome usado pelo aplicativo clusterizado e o nome do n de cluster. Por exemplo, um
certificado com um SAN poderia oferecer suporte aos nomes www.adatum.com, node1.adatum.com,
node2.adatum.com, node3.adatum.com e node4.adatum.internal.

Configurao de servios avanados do Windows Server 2012

9-17

Princpio dos privilgios mnimos


Assegure que os usurios recebero apenas permisses para tarefas que eles precisam executar no n
NLB. Os membros do grupo Administradores local em um n nico podem adicionar e remover ns
de cluster, at mesmo se no forem membros do grupo Administradores local nesses ns. Os aplicativos
executados nos clusters NLB devem ser configurados de modo que no exijam que os administradores
de aplicativo tenham privilgios de Administrador local nos servidores que hospedam o aplicativo.
Somente os usurios cujo cargo de trabalho exija que eles consigam estabelecer conexes de
gerenciamento remotas com ns de cluster NLB devem ser capazes de estabelecer essas conexes.

Consideraes sobre o dimensionamento do NLB


O dimensionamento o processo de aumento
da capacidade de um cluster NLB. Por exemplo,
se voc tiver um cluster NLB de quatro ns e
cada n no cluster estiver sendo intensamente
utilizado at o cluster no poder gerenciar
mais trfego, adicione outros ns. A adio
de ns difundir a mesma carga entre mais
computadores, reduzindo a carga em cada n
de cluster atual. A capacidade aumenta porque
um nmero maior de computadores configurados
de modo similar pode gerenciar uma carga de
trabalho mais alta que um nmero menor de
computadores configurados de modo similar.
Um cluster NLB oferece suporte a at 32 ns. Isso significa que voc pode dimensionar um nico
cluster NLB de modo que 32 ns separados participem desse cluster. Quando voc considerar
o dimensionamento de um aplicativo para que ele seja hospedado em um cluster NLB de 32 ns,
lembre-se de que cada n no cluster deve estar na mesma sub-rede TCP/IP.
Uma alternativa para compilar clusters NLB nicos compilando vrios clusters NLB e usando o recurso
round robin de DNS em seguida para compartilhar o trfego entre eles. O recurso round robin de DNS
uma tecnologia que permite a um servidor DNS fornecer aos clientes solicitantes endereos IP diferentes
para o mesmo nome de host, em ordem sequencial. Por exemplo, se houver trs endereos associados
a um nome de host, o primeiro host solicitante receber o primeiro endereo, o segundo receber o
segundo endereo, o terceiro receber o terceiro endereo e assim sucessivamente. Quando voc usa
o recurso round robin de DNS com o NLB, associa os endereos IP de cada cluster ao nome de host
usado pelo aplicativo.
A distribuio do trfego entre clusters NLB que usam o recurso round robin de DNS tambm permite
implantar clusters NLB entre vrios sites. O round robin de DNS oferece suporte classificao de
mscaras de rede. Essa tecnologia assegurar que os clientes em uma sub-rede recebero um endereo
IP de um host na mesma rede, caso algum esteja disponvel. Por exemplo, voc poderia implantar trs
clusters NLB de quatro ns nas cidades de Sydney, Melbourne e Canberra, e usar o recurso round robin
de DNS para distribuir o trfego entre eles. Com a classificao de mscaras de rede, um cliente que est
acessando o aplicativo em Sydney ser direcionado para o cluster NLB hospedado em Sydney. Um cliente
que no est na mesma sub-rede dos ns de cluster NLB, como um cliente na cidade de Brisbane, ser
direcionado pelo recurso round robin de DNS para o cluster NLB de Sydney, Melbourne ou Canberra.

9-18 Implementao do Balanceamento de Carga de Rede

Consideraes sobre a atualizao dos clusters NLB


A atualizao de clusters NLB envolve a
movimentao dos ns de cluster de um
sistema operacional host, por exemplo, o
Windows Server 2003 ou o Windows Server 2008,
para o Windows Server 2012. A atualizao do
cluster pode no envolver uma atualizao de
sistema operacional em cada n, porque, em
alguns casos, o sistema operacional host original
pode no oferecer suporte a uma atualizao
direta para o Windows Server 2012. Nesse
caso, voc pode executar uma migrao.
A recomendao principal quando voc est
atualizando clusters NLB lembrar-se de que o NLB oferece suporte aos clusters que esto executando
uma combinao de sistemas operacionais. Isso significa que voc pode ter um cluster que executa
uma combinao de Windows Server 2003, Windows Server 2008 e Windows Server 2012. Tenha em
mente que, embora haja suporte para clusters NLB de sistemas operacionais combinados, eles no
so recomendados. Voc deve configurar o cluster NLB de modo que todos os hosts executem
o mesmo sistema operacional o quanto antes.
Observao: Em algumas situaes, no ser possvel atualizar o sistema operacional
de um n de cluster.
Quando voc estiver executando uma atualizao, poder usar uma destas estratgias:

Atualizao por etapas. Durante este tipo de atualizao, voc adiciona novos ns
Windows Server 2012 a um cluster existente e remove os ns que esto executando verses
anteriores do sistema operacional Windows Server. Este tipo de atualizao apropriado
quando o hardware e o sistema operacional originais no oferecem suporte a uma atualizao
direta para o Windows Server 2012.

Atualizao sem interrupo. Durante este tipo de atualizao, voc atualiza um n do cluster
de cada vez. Voc faz isso colocando o n offline, executando a atualizao e reingressando
o n no cluster.

Links de referncia: Obtenha mais informaes sobre como atualizar clusters NLB
em http://go.microsoft.com/fwlink/?LinkId=270037.

Configurao de servios avanados do Windows Server 2012

9-19

Laboratrio: Implementao do Balanceamento


de Carga de Rede
Cenrio
A A. Datum Corporation uma empresa de engenharia e manufatura. A organizao est sediada em
Londres, na Inglaterra, e est expandindo rapidamente na Austrlia. medida que a empresa se expande,
a necessidade de aplicativos Web escalonveis aumenta. Pensando nisso, voc est desenvolvendo
um programa piloto para testar a implantao do NLB nos hosts que executam o sistema operacional
Windows Server 2012.
Como voc pretende automatizar o processo de implantao de clusters NLB do Windows, usar
o Windows PowerShell para executar vrias tarefas de instalao e configurao de clusters. Voc
tambm configurar regras de portas e afinidade, que permitiro implantar vrios aplicativos Web
com balanceamento de carga nos mesmos clusters NLB do Windows.

Objetivos

Implementar um cluster NLB.

Configurar e gerenciar um cluster NLB.

Validar a alta disponibilidade do cluster NLB.

Configurao do laboratrio
Tempo previsto: 45 minutos

Mquinas virtuais

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2

Nome de Usurio

ADATUM\Administrador

Senha

Pa$$w0rd

Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.

No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique


em Gerenciador Hyper-V.

2.

No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.

3.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.

4.

Entre usando as seguintes credenciais:

5.

Nome de Usurio: ADATUM\Administrador

Senha: Pa$$w0rd

Repita as etapas de 2 a 4 para 24412B-LON-SVR1 e 24412B-LON-SVR2.

9-20 Implementao do Balanceamento de Carga de Rede

Exerccio 1: Implementao de um cluster de Balanceamento de Carga


de Rede
Cenrio
Voc deseja automatizar o processo de implantao dos clusters NLB do Windows Server 2012.
Tendo isso em mente, voc estar usando o Windows PowerShell para executar a maioria das
tarefas de implantao de clusters NLB.
As principais tarefas deste exerccio so:
1.

Verifique a funcionalidade de site para servidores autnomos.

2.

Instale o Balanceamento de Carga de Rede (NLB) .

3.

Criao de um novo cluster NLB do Windows Server 2012.

4.

Adio de um segundo host ao cluster.

5.

Validao do cluster NLB.

Tarefa 1: Verifique a funcionalidade de site para servidores autnomos


1.

Em LON-SVR1, navegue at a pasta c:\inetpub\wwwroot.

2.

Abra iis-8 no Microsoft Paint, use a ferramenta Paint Brush e aplique a cor vermelha para marcar
o logotipo do IIS.

3.

Feche o Explorador de Arquivos.

4.

Alterne para LON-DC1 e abra o Windows Internet Explorer.

5.

Navegue at http://LON-SVR1 e verifique se a pgina da Web est marcada com a cor vermelha.

6.

Navegue at http://LON-SVR2 e verifique se o site no est marcado para diferenci-lo dos demais.

7.

Feche o Internet Explorer.

Tarefa 2: Instale o Balanceamento de Carga de Rede (NLB)


1.

Em LON-SVR1, abra o ISE do Windows PowerShell.

2.

Digite o seguinte comando e pressione Enter:


Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-WindowsFeature
NLB,RSAT-NLB}

Tarefa 3: Criao de um novo cluster NLB do Windows Server 2012


1.

Em LON-SVR1, no ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:


New-NlbCluster -InterfaceName "Conexo Local" -OperationMode Multicast ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB

2.

No ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:


Invoke-Command -Computername LON-DC1 -command {Add-DNSServerResourceRecordA zonename
adatum.com name LON-NLB Ipv4Address 172.16.0.42}

Configurao de servios avanados do Windows Server 2012

Tarefa 4: Adio de um segundo host ao cluster

Em LON-SVR1, no ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:


Add-NlbClusterNode -InterfaceName "Conexo Local" -NewNodeName "LON-SVR2" NewNodeInterface "Conexo Local"

Tarefa 5: Validao do cluster NLB


1.

Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e verifique se os ns


LON-SVR1 e LON-SVR2 so exibidos com o status Convergido.

2.

Exiba as propriedades do cluster LON-NLB e verifique o seguinte:


o

O cluster est definido para usar o modo de operao Multicast.

H uma nica regra de porta chamada Tudo que inicia na porta 0 e termina na porta 65535
para os protocolos TCP e UDP, e que usa a afinidade nica.

Resultados: Aps concluir este exerccio, voc ter implementado com xito um cluster NLB.

Exerccio 2: Configurao e gerenciamento do cluster NLB


Cenrio
Voc deseja implantar vrios sites separados no cluster NLB e diferenci-los com base no endereo
de porta. Para fazer isso, voc deseja assegurar que pode configurar e validar as regras de porta.
Voc tambm deseja testar as configuraes de afinidade para assegurar que as solicitaes
sero distribudas uniformemente entre os hosts.
As principais tarefas deste exerccio so:
1.

Configurao das regras de porta e da afinidade.

2.

Validao das regras de porta.

3.

Gerenciamento da disponibilidade de host no cluster NLB.

Tarefa 1: Configurao das regras de porta e da afinidade


1.

Em LON-SVR2, abra o Windows PowerShell.

2.

No Windows PowerShell, digite os seguintes comandos, pressionando Enter aps cada um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website -Name PortTest -PhysicalPath "C:\porttest" -Port 5678
New-NetFirewallRule -DisplayName PortTest -Protocol TCP -LocalPort 5678

3.

Abra o Explorador de Arquivos, navegue at c:\porttest\iis-8.png e abra esse arquivo no


Microsoft Paint.

4.

Use o pincel Azul para marcar o logotipo do IIS.

5.

Alterne para LON-DC1.

9-21

9-22 Implementao do Balanceamento de Carga de Rede

6.

Abra o Internet Explorer e navegue at http://LON-SVR2:5678.

7.

Verifique se a pgina inicial do IIS com a imagem marcada em azul exibida.

8.

Alterne para LON-SVR1.

9.

Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e exiba as propriedades


do cluster LON-NLB.

10. Remova a regra Tudo.


11. Adicione uma regra de porta com as seguintes propriedades:
o

Intervalo de portas: 80 A 80

Protocolos: Ambos

Modo de filtragem: Vrios hosts

Afinidade: Nenhuma

12. Crie uma nova regra de porta com as seguintes propriedades:


o

Intervalo de portas: 5678 A 5678

Protocolos: Ambos

Modo de filtragem: Host nico

13. Feche a caixa de dilogo Propriedades de LON-NLB (172.16.0.42).


14. Edite as propriedades de host de LON-SVR1.
15. Configure o valor Prioridade de Tratamento da regra da porta 5678 como 10.

Tarefa 2: Validao das regras de porta


1.

Alterne para LON-DC1.

2.

Usando o Internet Explorer, navegue at http://lon-nlb, atualize a pgina da Web 20 vezes


e verifique se as pginas da Web com e sem a marcao vermelha so exibidas.

3.

Em LON-DC1, navegue at o endereo http://LON-NLB:5678, atualize a pgina da Web 20 vezes


e verifique se apenas a pgina da Web com a marcao azul exibida.

Tarefa 3: Gerenciamento da disponibilidade de host no cluster NLB


1.

Alterne para LON-SVR1.

2.

Em LON-SVR1, use o Gerenciador de Balanceamento de Carga de Rede para colocar a mquina


LON-SVR1 em suspenso.

3.

Verifique se o n LON-SVR1 exibido como Suspenso e se o n LON-SVR2 exibido


como Convergido.

4.

Retome e inicie LON-SVR1.

5.

Verifique se os ns LON-SVR1 e LON-SVR2 agora so exibidos como Convergido.

Resultados: Aps concluir este exerccio, voc ter configurado e gerenciado com xito um cluster NLB.

Configurao de servios avanados do Windows Server 2012

9-23

Exerccio 3: Validao da alta disponibilidade do cluster NLB


Cenrio
Como parte da preparao da implantao do NLB no ambiente da sua organizao, voc deseja
assegurar que possvel executar tarefas de manuteno (como operaes de reinicializao) sem afetar
a disponibilidade dos sites hospedados no cluster. Tendo isso em mente, voc verificar a disponibilidade
reinicializando um dos hosts enquanto tenta acessar o site clusterizado. Voc tambm explorar
a funcionalidade Interrupo de descarga.
As principais tarefas deste exerccio so:
1.

Valide a disponibilidade do site quando o host no estiver disponvel.

2.

Configurao e validao da Interrupo de descarga.

Tarefa 1: Valide a disponibilidade do site quando o host no estiver disponvel


1.

Reinicie LON-SVR1.

2.

Alterne para LON-DC1.

3.

Em LON-DC1, abra o Internet Explorer e navegue at http://LON-NLB.

4.

Atualize o site 20 vezes. Verifique se o site est disponvel, mas no exibe a marca vermelha
no logotipo do IIS at LON-SVR1 ser reiniciada.

Tarefa 2: Configurao e validao da Interrupo de descarga


1.

Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e inicie uma Interrupo


de descarga em LON-SVR2.

2.

Em LON-DC1, navegue at http://lon-nlb, e verifique se somente a pgina de boas-vindas


com o logotipo do IIS vermelho exibida.

Resultados: Aps concluir este exerccio, voc ter validado com xito a alta disponibilidade
do cluster NLB.

Tarefa 3: Para se preparar para o prximo mdulo


Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial.
1.

No computador host, inicie o Gerenciador Hyper-V.

2.

Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.

3.

Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.

4.

Repita as etapas 2 e 3 para 24412B-LON-SVR1 e 24412B-LON-SVR2.

9-24 Implementao do Balanceamento de Carga de Rede

Reviso e informaes complementares do mdulo


Perguntas de reviso
Pergunta: Voc criou um cluster NLB do Windows Server 2012 de quatro ns. O cluster
hospeda um site que hospedado no IIS. O que acontecer com o cluster se voc desligar
o servio de publicao na World Wide Web em um dos ns?
Pergunta: Voc deseja hospedar os sites www.contoso.com, www.adatum.com e
www.fabrikam.com em um cluster NLB de quatro ns. O endereo IP do cluster ser um
endereo IP pblico, e cada nome de domnio totalmente qualificado (FQDN) mapeado
no DNS para o endereo IP pblico do cluster. Quais etapas voc deve executar em cada
n para assegurar que trfego ser direcionado para o site apropriado?
Pergunta: Voc tem um cluster NLB do Windows de oito ns que hospeda um aplicativo
Web. Voc deseja assegurar que o trfego de um cliente que usa o cluster permanece com
o mesmo n ao longo de toda a sesso, mas esse trfego de clientes separados distribudo
equitativamente por todos os ns. Qual opo voc configurar para atingir essa meta?

Problemas e cenrios reais


Para se tornar uma verdadeira soluo de alta disponibilidade, use uma soluo de monitoramento
com NLB que detectar falha de aplicativo. Isso acontece porque os clusters NLB continuaro
direcionando trfego para ns que tm aplicativos com falha, contanto que o NLB, que
independente do aplicativo, continue enviando trfego de pulsao.

10-1

Mdulo 10
Implementao do cluster de failover
Contedo:
Viso geral do mdulo

10-1

Lio 1: Viso geral do cluster de failover

10-2

Lio 2: Implementao de um cluster de failover

10-15

Lio 3: Configurao de aplicativos e servios altamente disponveis


em um cluster de failover

10-22

Lio 4: Manuteno de um cluster de failover

10-28

Lio 5: Implementao de um cluster de failover multissite

10-35

Laboratrio: Implementao do cluster de failover

10-41

Reviso e informaes complementares do mdulo

10-47

Viso geral do mdulo


Fornecer alta disponibilidade importante para qualquer organizao que deseja fornecer servios
contnuos aos seus usurios. Disponibilidade alta um termo que denota a capacidade de um
sistema ou dispositivo ser usado quando necessrio. Voc pode expressar a alta disponibilidade como
porcentagem, que calculada pela diviso do tempo de servio real pelo tempo de servio necessrio.
Disponibilidade alta no significa que o sistema estar livre do tempo de inatividade. No entanto, uma
rede que tem um tempo de atividade de 99,999% geralmente considerada altamente disponvel.
O cluster de failover uma das principais tecnologias do Windows Server 2012 que pode fornecer
alta disponibilidade para vrios aplicativos e servios. Neste mdulo, voc aprender sobre o cluster
de failover, seus componentes e tcnicas de implementao.

Objetivos
Ao concluir este mdulo, voc ser capaz de:

Descrever o cluster de failover.

Implementar um cluster de failover.

Configurar aplicativos e servios altamente disponveis.

Manter um cluster de failover.

Implementar um cluster de failover multissite.

10-2 Implementao do cluster de failover

Lio 1

Viso geral do cluster de failover


Cluster de failover um processo de alta disponibilidade, em que uma instncia de um servio ou
aplicativo em execuo em uma mquina pode fazer failover em uma mquina diferente do cluster
de failover se a primeira mquina falhar. Os clusters de failover do Windows Server 2012 fornecem
uma soluo de alta disponibilidade para muitas funes de servidor e aplicativos. Implementando
clusters de failover, voc pode manter a disponibilidade do aplicativo ou servio se um ou mais
computadores do cluster de failover falharem.
Antes de implementar o cluster de failover, voc deve estar familiarizado com os conceitos gerais
de alta disponibilidade. Voc tambm deve entender a terminologia de cluster e como os clusters
de failover funcionam. Finalmente, voc deve estar familiarizado com os novos recursos de cluster
do Windows Server 2012.

Objetivos da lio
Ao concluir esta lio, voc ser capaz de:

Descrever a alta disponibilidade.

Descrever as melhorias do cluster de failover no Windows Server 2012.

Descrever os componentes do cluster de failover.

Descrever volumes compartilhados de cluster (CSV).

Definir failover e failback.

Descrever um quorum.

Descrever os modos de quorum nos clusters de failover do Windows Server 2012.

Descrever as redes do cluster de failover.

Descrever o armazenamento do cluster de failover.

O que alta disponibilidade?


A disponibilidade refere-se a um nvel de servio
fornecido por aplicativos, servios ou sistemas.
A disponibilidade geralmente expressa como
a porcentagem do tempo que um servio ou
sistema fica disponvel. Os sistemas altamente
disponveis tm um tempo de inatividade mnimo
seja planejado ou no e esto disponveis
em mais de 99% do tempo, dependendo das
necessidades e do oramento da organizao.
Por exemplo, um sistema que no est disponvel
durante 8,75 horas por ano teria uma classificao
de disponibilidade de 99,9%, e seria considerado
altamente disponvel.

Configurao de servios avanados do Windows Server 2012

10-3

Para melhorar a disponibilidade, voc deve implementar mecanismos de tolerncia a falhas que
mascaram ou minimizam a forma como as falhas e as dependncias dos componentes do servio
afetam o sistema. possvel obter a tolerncia a falhas implementando a redundncia em pontos
de falha isolados.
A falta de comunicao sobre as expectativas do nvel de servio entre o cliente e a organizao
de TI pode resultar em decises comerciais insatisfatrias, como nveis de investimento inadequados
e insatisfao do cliente. Certifique-se de expressar claramente os requisitos de disponibilidade para
que no haja enganos sobre as implicaes.
O perodo de medio de disponibilidade tambm pode ter um efeito significativo na definio de
disponibilidade. Por exemplo, um requisito para 99,9% de disponibilidade em um perodo de um ano
permite 8,75 horas de tempo de inatividade, enquanto que um requisito de 99,9% disponibilidade em
um intervalo de quatro semanas permite apenas 40 minutos de tempo de inatividade por perodo.
Para alta disponibilidade, voc tambm deve identificar e negociar interrupes planejadas, horas
de servio e suporte, atividades de manuteno, atualizaes de service packs e de software. Estes so
considerados interrupes agendadas, e normalmente no so includos como tempo de inatividade;
basicamente voc calcula a disponibilidade apenas com base nas interrupes no planejadas.
Entretanto, necessrio negociar exatamente as interrupes planejadas que sero consideradas
como tempo de inatividade.

Cluster de failover no Windows Server 2012


A maioria dos recursos e tcnicas de
administrao de cluster de failover do
Windows Server 2008 R2 est presente no
Windows Server 2012. Porm, alguns novos
recursos e tecnologias no Windows Server 2012
aumentam escalabilidade e disponibilidade
de armazenamento de cluster e fornece
gerenciamento melhor e mais fcil
e failover mais rpido.
Os novos recursos importantes do cluster
de failover do Windows Server 2012 incluem:

Maior escalabilidade. No
Windows Server 2012, um cluster de failover pode ter 64 ns fsicos e pode executar 4.000 mquinas
virtuais em cada cluster. Essa uma melhoria significante em relao ao Windows Server 2008 R2,
que suporta apenas 16 ns fsicos e 1.000 mquinas virtuais por cluster. Cada cluster que voc cria
est agora disponvel do console do Gerenciador do Servidor. No Windows Server 2012, o
Gerenciador do Servidor pode descobrir e gerenciar todos os clusters que so criados em um
domnio dos Servios de Domnio do Active Directory (AD DS). Se voc implantar o cluster em um
cenrio de multissite, o administrador poder controlar quais ns em um cluster tero votos para
estabelecer o quorum. A escalabilidade do cluster de failover tambm melhorou para mquinas
virtuais que esto em execuo em clusters. Isso ser abordado posteriormente em mais detalhes
neste curso.

10-4 Implementao do cluster de failover

CSVs melhorados. Essa tecnologia foi introduzida no Windows Server 2008 R2 e tornou-se muito
popular por fornecer armazenamento em mquina virtual. No Windows Server 2012, os CSVs
aparecem como sistemas de arquivos CSV e suportam o armazenamento SMB verso 3.0 para
Hyper-V e outros aplicativos. Alm disso, o CSV pode usar os recursos SMB Multichannel e
SMB Direct para permitir que o trfego flua por vrias redes em um cluster. Tambm possvel
implementar servidor de arquivos em CSVs, em modo escalvel. Para maior segurana, voc
pode usar a Criptografia de Unidade do Windows BitLocker para discos CSV, e voc pode
tornar o armazenamento CSV visvel apenas para um subconjunto de ns em um cluster.
Para confiabilidade, voc pode verificar e reparar volumes CSV sem perodo offline.

Atualizao com suporte a cluster. Em verses anteriores do Windows Server, atualizar ns


de cluster para minimizar ou evitar tempo de inatividade exigia preparao e planejamento
significantes. Alm disso, atualizar ns de cluster era um procedimento basicamente manual, o
que causava esforo administrativo adicional. O Windows Server 2012 apresenta a Atualizao
com Suporte a Cluster, uma nova tecnologia para essa finalidade. A Atualizao com Suporte
a Cluster atualiza ns de cluster automaticamente com o hotfix do Windows Update, enquanto
mantm o cluster online e minimizando o tempo de inatividade. Essa tecnologia ser explicada
em mais detalhes na Lio 4: Manuteno de um cluster de failover.

Melhorias de integrao com o Active Directory. No Windows Server 2008, o cluster de failover
integrado ao AD DS. O Windows Server 2012 melhora essa integrao. Agora os administradores
podem criar um cluster de objetos de computador em unidades organizacionais de destino (UOs)
ou, por padro, nas mesmas UOs dos ns de cluster. Isso alinha as dependncias do cluster de
failover no AD DS com o modelo de administrao de domnio delegado que muitas organizaes
de TI usam. Alm disso, agora voc pode implantar clusters de failover com acesso apenas para
controladores de domnio somente leitura.

Melhorias de gerenciamento. Embora o cluster de failover do Windows Server 2012 ainda use quase
o mesmo console de gerenciamento e as mesmas tcnicas administrativas, o Windows Server 2012
traz algumas melhorias de gerenciamento importantes. A velocidade de validao para clusters de
failover grandes melhorou no Assistente de Validao, e novos testes para CSVs, a funo Hyper-V
e mquinas virtuais foram adicionados. Alm disso, novos cmdlets do Windows PowerShell esto
disponveis para gerenciar clusters, monitorar aplicativos de mquina virtual clusterizados e criar
destinos iSCSI altamente disponveis.

Recursos removidos e preteridos


No cluster do Windows Server 2012, alguns recursos das verses de cluster de failover anteriores foram
removidos ou preteridos. Se voc estiver atualizando de uma verso anterior, dever estar ciente destas
alteraes:

A ferramenta de linha de comando Cluster.exe foi removida. No entanto, voc ainda pode instal-la
opcionalmente com as ferramentas de cluster de failover. Os cmdlets do Windows PowerShell
do cluster de failover fornecem uma funcionalidade que geralmente a mesma dos comandos
Cluster.exe.

A interface COM do servidor MSClus foi removida, mas voc pode instal-la opcionalmente com
as ferramentas de cluster de failover.

O suporte para DLLs de recursos de cluster de 32 bits foi preterido, mas voc pode instalar DLLs
de 32 bits opcionalmente. As DLLs de recursos de cluster devem ser atualizadas para 64 bits.

A funo Servidor de Impresso foi removida do Assistente de Alta Disponibilidade e no pode


ser configurada no Gerenciador de Cluster de Failover.

O cmdlet Add-ClusterPrintServerRole foi removido e no tem suporte no Windows Server 2012.

Configurao de servios avanados do Windows Server 2012

10-5

Componentes do cluster de failover


Como um cluster de failover, grupo de
computadores independentes que trabalham
juntos para aumentar a disponibilidade de
aplicativos e servios. Cabos fsicos e softwares
conectam os servidores clusterizados. Os
servidores que participam do cluster tambm
so conhecidos como ns. Se um dos ns de
cluster falhar, outro n comear a fornecer
servios. Esse processo conhecido como
failover. Com o failover, os usurios sofrem
mnima a nenhuma interrupo de servio.
Uma soluo de cluster de failover consiste
em vrios componentes, que incluem:

Ns. Esses so computadores que so membros de um cluster de failover. Esses computadores


executam o servio de cluster, bem como os recursos e aplicativos associados ao cluster.

Rede. Essa uma rede pela qual os ns de cluster podem se comunicar entre si e com clientes.
H trs tipos de redes que podem ser usadas em um cluster: pblica, privada, pblica e privada.
Essas redes so abordadas em mais detalhes no tpico Redes do cluster de failover.

Recurso. Essa uma entidade hospedada por um n. Ela gerenciada pelo servio de cluster
e pode ser iniciada, interrompida e movida para outro n.

Armazenamento de cluster. Esse um sistema de armazenamento que normalmente


compartilhado entre ns de cluster. Em alguns cenrios, como clusters de servidores que
executam o Microsoft Exchange Server, o armazenamento compartilhado no necessrio.

Clientes. So computadores (ou usurios) que esto usando o servio de cluster.

Servio ou aplicativo. entidade de software que apresentada aos clientes e usada pelos clientes.

Em um cluster de failover, cada n no cluster:

Tem total conectividade e comunicao com os outros ns do cluster.

Sabe quando outro n entra ou sai do cluster. Alm disso, cada n sabe quando um n
ou recurso est falhando e tem capacidade para assumir esses servios.

conectado a uma rede pela qual computadores cliente podem acessar o cluster.

Normalmente conectado por meio de um barramento compartilhado ou conexo iSCSI


ao armazenamento compartilhado.

Sabe os servios ou aplicativos que esto em execuo localmente e os recursos que esto
em execuo em todos os outros ns do cluster.

O armazenamento de cluster normalmente se refere a dispositivos lgicos geralmente discos rgidos


ou LUNs (nmeros de unidade lgica) aos quais todos os ns de cluster se anexam por meio de um